MODALIDAD ABIERTA Y A DISTANCIA
Departamento de Ciencias de la Computación y Electrónica Sección Ingeniería del Software y Gestión de Tecnologías de la Información
Auditoría Informática Guía didáctica 4 créditos
Titulaciones
Ciclo
Informática
X
Contabilidad y Auditoria
Autora: Ing. Karla Alexandra Romero González
La Universidad Católica de Loja
Asesoría virtual: www.utpl.edu.ec
AUDITORÍA INFORMÁTICA Guía didáctica Karla Alexandra Romero González UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
CC 4.0, CC BY-NY-SA Diagramación, diseño e impresión: EDILOJA Cía. Ltda. Telefax: 593-7-2611418 San Cayetano Alto s/n www.ediloja.com.ec
[email protected] Loja-Ecuador Segunda edición Sexta reimpresión ISBN físico - 978-9942-08-585-6 ISBN digital - 978-9942-04-844-8
La versión impresa y digital han sido acreditadas bajo la licencia Creative Commons 4.0, CC BY-NY-SA: Reconocimiento-No comercialCompartir igual; la cual permite: copiar, distribuir y comunicar públicamente la obra, mientras se reconozca la autoría original, no se utilice con fines comerciales y se permiten obras derivadas, siempre que mantenga la misma licencia al ser divulgada. https:// creativecommons.org/licenses/by-nc-sa/4.0/deed.es Octubre, 2016
2. Índice
2. Índice............................................................................................................................................................. 3 3. Introducción............................................................................................................................................. 5 4. Bibliografía............................................................................................................................................... 6 4.1. Básica........................................................................................................................................... 6 4.2. Complementaria...................................................................................................................... 6
5. Orientaciones generales para el estudio.............................................................................. 8 6. Proceso de enseñanza-aprendizaje para el logro de competencias................. 11 PRIMER BIMESTRE 6.1. Competencias............................................................................................................................ 11 6.2. Planificación para el trabajo del alumno......................................................................... 11 6.3. Sistema de evaluación (primero y segundo bimestre)................................................ 13 6.4. Orientaciones específicas para el aprendizaje por competencias............................ 14
UNIDAD 1. CONTROL INTENO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN.......................... 14 1.1. Introducción al control interno y auditoría de sistemas de información............... 14 1.2. Funciones de control interno y auditoría informática.................................................. 16 Autoevaluación 1................................................................................................................................. 20
UNIDAD 2. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN............................................................................................................... 22 2.1. Introducción a las metodologías......................................................................................... 22 2.2. Metodologías de evaluación de sistemas........................................................................ 25 Autoevaluación 2................................................................................................................................. 38
UNIDAD 3. EL DEPARTAMENTO DE AUDITORÍA DE LOS SI Y ÉTICA DEL AUDITOR DE LOS SI. 40 3.1. Misión del departamento de auditoría de los SI........................................................... 40 3.2. Organización del departamento de auditoría de los SI............................................... 42 3.3. Planificación del trabajo de auditoría............................................................................... 44 3.4. El equipo de auditoría de SI.................................................................................................. 45 Autoevaluación 3................................................................................................................................. 48
SEGUNDO BIMESTRE 6.5. Competencias............................................................................................................................ 51 6.6. Planificación para el trabajo del alumno......................................................................... 51 6.7. Orientaciones específicas para el aprendizaje por competencias............................ 53
UNIDAD 4. AUDITORÍA DE OUTSOUCING DE TI................................................................................ 53 4.1. Conceptos relativos al outsourcing de TI.......................................................................... 53 4.2. Auditoría del outsourcing de TI........................................................................................... 56 4.3. Acciones indispensables en la auditoría del outsourcing de TI................................. 58 4.4. Outsourcing y marcos de referencia................................................................................... 58 Autoevaluación 4................................................................................................................................. 61
UNIDAD 5. AUDITORÍA A LA SEGURIDAD FÍSICA............................................................................. 62 5.1. ¿Qué es seguridad física?....................................................................................................... 62 5.2. Objetivo de la seguridad física............................................................................................. 63 5.3. Auditoría de la seguridad física........................................................................................... 63 5.4. Fases de la auditoría de la seguridad física..................................................................... 68 Autoevaluación 5................................................................................................................................. 70
UNIDAD 6. GESTIÓN DE RIESGOS Y AUDITORÍA BASADA EN RIESGOS - COBIT......................... 71 6.1. ¿Cómo evaluar un riesgo tecnológico?............................................................................. 71 6.2. Procesos claves de riesgos en COBIT.................................................................................. 72 Autoevaluación 6................................................................................................................................. 73
7. Solucionario.............................................................................................................................................. 74
PRELIMINARES
Guía didáctica: Auditoría Informática
3. Introducción Aquellos que dicen que algo no puede hacerse, suelen ser interrumpidos por otros que lo están haciendo. Joel A. Baker.
Auditoría Informática pretende ayudar al profesional en formación a desarrollar habilidades y destrezas intelectuales como creativas, necesarias para ejecutar procesos de revisión o supervisión de un Sistema de Información en ambientes tecnológicos. Es un componente académico troncal de carrera de la titulación de INFORMÁTICA, del décimo ciclo, válido por 4 créditos. La importancia de este componente académico es que contribuirá en su desempeño como profesional, en caso de que se especialice como Auditor Informático; puesto que adquirirá las bases necesarias de conocimientos teóricos y prácticos, para que pueda realizar un examen con carácter objetivo, crítico, sistemático y selectivo, evaluando la eficacia y eficiencia del uso adecuado de recursos informáticos y así comprobar si las medidas evaluadas han brindado el soporte adecuado a los objetivos y metas de una empresa. El propósito principal es que Usted amplié su accionar, y se convierta en un auditor informático, dando ideas para la correcta utilización de los amplios recursos que una organización pone en juego para disponer de un eficiente y eficaz Sistema de Información y poner cumplir con los objetivos para la que fue creada, incluso, puede actuar como consejero en la organización donde desempeña su labor. Lo animo estimado estudiante a desarrollar este campo casi nuevo de la informática y sobre todo a analizar las posibilidades de innovación que existe en este ámbito. La temática de este componente ha sido estructurada en 6 capítulos: •
En el primer bimestre estudiaremos: Control Interno y Auditoría de SI, Metodologías de control Interno, seguridad y Auditoría de SI y El departamento de Auditoría de los SI – Ética del auditor de los SI.
•
En el segundo bimestre estudiaremos: Auditoría de Outsourcing de TI, Auditoría a la Seguridad Física y Gestión de Riesgos – Auditoría Basada en Riesgos - COBIT.
La decisión que Usted ha tomado de capacitarse a través de la modalidad de estudios a distancia que ofrece la UTPL, compromete nuestro esfuerzo conjunto para lograr el objetivo de preparar profesionales competentes y competitivos.
La Universidad Católica de Loja
5
Guía didáctica: Auditoría Informática
PRELIMINARES
4. Bibliografía 4.1. Básica •
Piattini, M., Del Peso, E., & Del Peso, M. (2008). Auditoría de Tecnologías y Sistemas de Información. México DF, México: RA-MA Editorial. Este recurso presenta de forma clara y precisa los conceptos fundamentales sobre control interno y auditoría de las tecnologías y sistemas de información, así como también da a conocer los aspectos organizativos, jurídicos y deontológicos asociados a la auditoría, aportando con pautas y experiencias.
•
Romero, K. (2013). Guía Didáctica de Auditoría Informática. Loja, Ecuador: EdiLoja. Esta guía pretende ser una herramienta de acompañamiento al estudiante durante todo el ciclo de estudio. La misma contienen pautas de estudio para mejor comprensión de la materia.
4.2. Complementaria •
Carrió, G. (2011). Auditoría y Control Interno, Un Enfoque Actualizado. Recuperado de: http:// www.utu.edu.uy/Publicaciones/Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf Este trabajo investigativo pone a disposición una aproximación muy puntual al complejo tema de auditoría y el control interno o de gestión.
•
Erb, M. (2008a). Facilitando el acceso seguro de la información en las organizaciones sociales. Gestión de Riesgo en la Seguridad Informática. Recuperado de: http://protejete.wordpress.com/ En este recurso un experto en Gestión de Riesgos explica detenidamente y de manera didáctica cómo es la gestión de riesgo en la seguridad informática.
•
Erb, M. (2008b). Facilitando el acceso seguro de la información en las organizaciones sociales. Gestión de Riesgo en la Seguridad Informática. Recuperado de: http://protejete.wordpress.com/ gdr_principal/seguridad_informacion_proteccion/ejercicio/ En este recurso es un sitio web, donde puede encontrar un ejercicio sobre seguridad de la información y protección de datos.
•
Erb, M. (2008c). Facilitando el acceso seguro de la información en las organizaciones sociales. Gestión de Riesgo en la Seguridad Informática. Recuperado de: http://protejete.wordpress.com/ gdr_principal/analisis_riesgo/ Este recurso es un sitio web, donde se explica el primer paso para la gestión de riesgos que es el Análisis de Riesgos.
•
Flores, C. (2009). ¡Pongámonos las Pilas! Reflexiones y acciones concretas para asegurar la información en nuestras organizaciones sociales. Gestión de Riesgo en la Seguridad Informática. Recuperado de: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.pdf
6
MODALIDAD ABIERTA Y A DISTANCIA
PRELIMINARES
Guía didáctica: Auditoría Informática
Este recurso, es un manual de instrucciones para usar herramientas informáticas específicas, que disminuyen los riesgos y protegen la información. •
Information System Audit & Control Association. (2005). COBIT 4.0. EEUU. Este marco de referencia internacional define los objetivos de control que permiten gobernar y ejecutar operaciones controladas de tecnología de la información con el objetivo de alinearse al gobierno corporativo.
•
Information System Audit & Control Association. (2009). Marco de Riesgos de TI. EEUU. Este marco de referencia permite manejar indicadores de valor, costo y retorno de inversión para una gestión más exacta y menos especulativa sobre los riesgos que pueden afectar a un ambiente tecnológico. La mayoría de las empresas multinacionales tienen metodologías basadas en este marco de referencia para el manejo de riesgos.
•
Observatorio Iberoamericano de Protección de Datos. (2013). PYMES y ley orgánica de protección de datos. España: Madrid. Recuperado de: http://oiprodat.com/2013/04/04/pequena-y-medianaempresa-y-ley-organica-de-proteccion-de-datos/ Este recurso, es un foro de encuentro , donde se comparte experiencias e ideas en el ámbito jurídico y operacional de la privacidad y protección de datos.
•
Pons, F. (2007, Abril). Auditoría Informática, Una aproximación a la mejora del Control Interno. Auditoría Pública. Recuperado de: http://www.auditoriapublica.com/hemeroteca/200704_41_97. pdf Este recurso, es una revista electrónica, en donde enmarca el papel de la auditoría informática como una nueva herramienta para la mejora del control interno en las organizaciones.
•
Stoner, J., Freeman, E., y Gilbert, D. (1996). Administración. México: Pretice Hall Hispanoamerica, S.A.
En este libro encontrará conceptos básicos de administración, los mismos que son el punto de partida para empezar un proceso de auditoría.
La Universidad Católica de Loja
7
Guía didáctica: Auditoría Informática
PRELIMINARES
5. Orientaciones generales para el estudio A continuación, estimado estudiante, se le ofrecen algunas estrategias para favorecer la comprensión y contribuir a lograr un aprendizaje significativo de este componente académico. Usted dispone de un texto básico y una guía didáctica, materiales que ya se detalló en la bibliografía. •
Además, necesitará acudir a algunos recursos y técnicas de estudio como:
•
Organizar el tiempo de manera que pueda avanzar secuencialmente en cada una de las unidades y temas para no dejar acumular todo el contenido para el final del bimestre.
•
Leer comprensivamente y de manera paralela la guía y el texto básico las veces que se requiera.
•
Es muy importante resolver las actividades recomendadas en la guía didáctica y en el texto básico.
•
Aplicar estrategias de aprendizaje como: elaborar resúmenes, esquemas, organizar formularios, cuadros, etc. que le permitan a usted extraer lo esencial, sintetizar y asimilar la temática abordada.
•
Desarrollar las autoevaluaciones que se incluyen en la guía didáctica.
•
Participar activamente en el Entorno Virtual de Aprendizaje (EVA), en donde podrá interactuar tanto con sus profesores – tutores y compañeros; dar criterios y opiniones en los foros de discusión que en cada bimestre se le propondrán.
•
Utilizar los recursos web disponibles: videos, presentaciones, REAS, OCW, etc.
•
Resolver las evaluaciones a distancia (una por cada bimestre) que sirven como estrategia de aprendizaje y preparación para las evaluaciones presenciales.
•
Si en el desarrollo de los contenidos surge alguna dificultad, usted puede comunicarse con nosotros sus profesores – tutores, a través de los diferentes medios: telefónicamente de acuerdo al horario establecido, el mismo que consta en la portada de las evaluaciones a distancia, y por el correo electrónico o a través del EVA.
•
Le recomiendo revisar la “Planificación para el trabajo del alumno”. Esta parte le permite obtener una visión global del componente.
Se presentan los siguientes focalizadores en el desarrollo de toda la guía didáctica, con la finalidad de que Usted identifique las acciones a realizar: Texto Básico El texto base está en ingles, pero lo puede encontrar en español en el enlace mencionado en la bibliografía complementaria. Actividad o Lectura Recomendada
Inquietudes
8
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRELIMINARES
Actividad en el EVA
Autoevaluación del capítulo
Respuesta a la autoevaluación
Apoyo tecnológico e Interactividad Le recomiendo que de forma regular y constante, acceda al EVA (www.utpl.edu.ec) y consulte las novedades que los profesores estaremos anunciando, semana a semana. Además, considere que las actividades de interactividad están propuestas en las evaluaciones a distancia y tienen su respectiva nota. Estrategias de evaluación El sistema de estudios de la Modalidad Abierta y a Distancia de la Universidad Técnica Particular de Loja contempla los siguientes parámetros de evaluación: La asignatura se encuentra dividida en dos bimestres, cada uno de los cuales se califica sobre 20 puntos, en caso de que en algún estudiante no obtenga una nota mínima de 14 puntos, deberá presentarse a un examen supletorio calificado sobre 20 que reemplaza la nota bimestral correspondiente. Los estudiantes aprueban cuando han logrado un mínimo de 28 puntos en total (sumando los dos bimestres). En el presente cuadro constan los parámetros y puntajes que se tomarán en cuenta en el primer y segundo bimestre. Instrumento
Puntaje
Trabajo a distancia:
2 puntos
•
Objetiva
4 puntos
•
Ensayo
•
Interacción EVA (tutorías, foros, investigaciones, etc)
1 punto, que ayudará a recuperar nota de la parte de ensayo en caso de que se necesite.
Evaluación presencial
14 puntos
TOTAL
20 PUNTOS
La Universidad Católica de Loja
9
Guía didáctica: Auditoría Informática
10
PRELIMINARES
MODALIDAD ABIERTA Y A DISTANCIA
La Universidad Católica de Loja
COMPETENCIAS ESPECÍFICAS DEL COMPONENTE EDUCATIVO
Define los conceptos de control interno y de auditoría informática.
COMPETENCIAS ESPECÍFICAS DE TITULACIÓN
Desarrolla auditorias de productos y procesos vinculados a la gestión de TIC’S.
•
Establece un sistema de controles internos informáticos.
•
Iniciar el desarrollo de la evaluación a distancia del componte.
Participar en el EVA, foro e interacciones.
Desarrollar la autoevaluación de la unidad 1.
Revisar el capítulo 1 del texto básico.
Reconoce un sistema de información y sus elementos.
Realizar las lecturas recomendadas de la • unidad.
Diferencia las funciones de control interno y auditoría informática.
1.1. Introducción al • Control Interno y Auditoría de Sistemas • de Información. • 1.2. Funciones del Control Interno • y de la Auditoría Informática.
•
Estudiar de la unidad 1 de la guía didáctica y realizar la actividad recomendada, p.19.
INDICADORES DE APRENDIZAJE
UNIDAD1. Control Interno • y auditoría de Sistemas de Información.
UNIDADES
CONTENIDOS ACTIVIDADES DE APRENDIZAJE
•
4 horas de autoestudio y 4 horas de interacción.
Semana 1
TIEMPO DE DEDICACIÓN
Comportamiento ético III: Inclinarse hacia el bien moral de uno mismo o de los demás (es decir, hacia todo lo que eso significa bien, vivencia del sentido, realización de la persona, sentido de justicia) y perseverar en dicho bien moral.
6.2. Planificación para el trabajo del alumno
üü
COMPETENCIAS GENÉRICAS DE LA UTPL
6.1. Competencias
PRIMER BIMESTRE
6. Proceso de enseñanza-aprendizaje para el logro de competencias PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
11
COMPETENCIAS ESPECÍFICAS DE TITULACIÓN
12 UNIDADES
CONTENIDOS
Unidades 1 a 3
3.4. El equipo de auditoría de SI.
trabajo de Auditoría.
Identifica los elementos 3.1. Misión del fundamentales que departamento de conforman un auditoría de los SI. departamento de auditoría de los sistemas 3.2. Organización del de los SI. departamento de auditoría de los SI. Define el perfil de un auditor informático. 3.3. Planificación del
Finalizar el desarrollo de la evaluación a distancia del componte.
•
Revisión de contenidos como preparación para la evaluación presencial.
Desarrollar la autoevaluación de la unidad 3 de la guía.
•
•
Participar en el EVA, foro e interacciones.
•
•
Realizar las lecturas recomendadas de la unidad. •
Lectura de la unidad 3 de la guía • didáctica, capítulo 5 y 7 del texto básico.
Continuar con el desarrollo de la evaluación a distancia del componte.
Diferencia los principios deontodológicos de un auditor informático.
Describe el perfil exacto de un auditor informático.
Identifica la ubicación del departamento de auditoría de los SI.
Reconoce la importancia del departamento de auditoría de los SI en una empresa.
Especifica un plan de contingencia independientemente de la empresa en la que se aplique.
Participar en el EVA, foro e interacciones. Desarrollar de la autoevaluación unidad 2 de la guía.
Identifica los riesgos en la seguridad informática.
Realizar las lecturas recomendadas de la • unidad. •
Describe las diferentes metodologías de control interno.
INDICADORES DE APRENDIZAJE
•
Estudio de la unidad 2 de la guía didáctica, capítulo 3 del texto básico y REAS del EVA.
ACTIVIDADES DE APRENDIZAJE
•
UNIDAD3. El • Departamento de auditoría de los SI y la • Ética del Auditor de los SI.
•
UNIDAD2. Metodologías • de control Interno, seguridad y auditoría Distingue las diferentes de SI. • metodologías de control 2.1. Introducción a las interno, seguridad y Metodologías. auditoría de un sistema • de información, tanto en 2.2. Metodologías de objetivos como en evaluación de • herramientas. Sistemas.
COMPETENCIAS ESPECÍFICAS DEL COMPONENTE EDUCATIVO
12 horas de interacción
•
8 horas de interacción
•
8 horas de estudio personal 8 horas de interacción
• •
Semana 7 y 8
8 horas de estudio personal
•
Semana 5 y 6
12 horas de estudio personal
•
Semana 2, 3 y 4
TIEMPO DE DEDICACIÓN
Guía didáctica: Auditoría Informática PRIMER BIMESTRE
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
6.3. Sistema de evaluación (primero y segundo bimestre) Formas de evaluación
Interacción en el EVA
Prueba objetiva
x
x
x
x
x
Cumplimiento, puntualidad, responsabilidad
x
x
x
x
x
x
Esfuerzo e interés en los trabajos
x
x
x
x
x
x
x x
Creatividad e iniciativa
x
x
Contribución en el trabajo colaborativo y de equipo
x x
x x
Presentación, orden y ortografía
x
x
Emite juicios de valor argumentadamente
x x
x
x x
x
Investigación (cita fuentes de consulta)
x
x
x
Aporta con criterios y soluciones
x
x
x
x
x
Análisis y profundidad en el desarrollo de temas
Puntaje
x
x Estrategia de aprendizaje
PORCENTAJE
x
10% 20% 30%
2
4
TOTAL
6
70%
14
20 puntos
Actividades presenciales y en el EVA
Dominio del contenido
Máximo 1 punto (completa la evaluación a distancia)
Actitudes
Respeto a las personas y a las normas de comunicación
Habilidades
3. Coevaluación
Parte de ensayo
Comportamiento ético
Competencia: criterio
Conocimientos
Evaluación presencial
Parte objetiva
1. Autoevaluación *
2. Heteroevaluación Evaluación a distancia **
Para aprobar la asignatura se requiere obtener un puntaje mínimo de 28/40 puntos, que equivale al 70%. * Son estrategias de aprendizaje, no tienen calificación; pero debe responderlas con el fin de autocomprobar su proceso de aprendizaje. ** Recuerde que la evaluación a distancia consta de dos partes: una objetiva y otra de ensayo, debe desarrollarla y enviarla a través del EVA según las fechas establecidas.
Señor estudiante: Tenga presente que la finalidad de la valoración cualitativa es principalmente formativa.
La Universidad Católica de Loja
13
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
6.4. Orientaciones específicas para el aprendizaje por competencias
UNIDAD 1. CONTROL INTENO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN Estimado estudiante, iniciamos el estudio del componente educativo mencionando temas fundamentales que se requiere conocer dentro de Auditoría Informática, definiciones de Tecnología de Información, Auditoría de Sistemas de Información, funciones de la Auditoría Informática y funciones de Control Interno Informático; comenzamos revisando algunos conceptos básicos de Auditoría Informática; esto le ayudará a comprender el objeto de estudio de la misma. Para iniciar el estudio de este tema le recomiendo acudir al texto básico y revisar el capítulo primero titulado Control Interno y Auditoría de Sistemas de Información, y el Video “Auditoría de un Sistema de Información” , el cual lo puede encontrar en el siguiente enlace: http://www.youtube.com/ watch?v=IgN3hrS5rJ4
¿Cómo le fue con la lectura?. Si no comprendió algo. ¡Lea nuevamente puesto que el tema es clave para diferenciar entre Control Interno y Auditoría de sistemas de Información. Si a su criterio está comprendido el tema planteado, ahora puede emitir sus ideas personales con respecto a la lectura, acuda a su libro de trabajo y conteste las siguientes preguntas: •
¿Qué es un control interno informático?
•
¿Qué tipos de controles internos hay?
•
¿Qué hace la auditoría de sistemas de información?
•
¿Principales diferencias entre control interno informático y auditoría informática?
Una vez que ha respondido las interrogantes planteadas, avancemos con el estudio de esta unidad.
1.1. Introducción al control interno y auditoría de sistemas de información Definamos la información dentro de una organización moderna como los datos que han sido recogidos, procesados, almacenados y recuperados con el propósito de la toma de decisiones en las diferentes áreas que conforman una organización (económica, financiera, informática. de producción, etc ). Es por esto que hoy en día la información es un recurso básico en una organización al igual que lo son las personas, las materias primas y los equipos. Una de las tareas principales de los directivos de una organización es la toma de decisiones. Y esta depende directamente de la calidad de información de quien las soporta. Para ello es importante tomar en cuenta estos requerimientos: Un profundo conocimiento de las circunstancias que rodean un problema, conocimiento de soluciones disponibles y de estrategias.
14
MODALIDAD ABIERTA Y A DISTANCIA
PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
Con todo esto entendemos que la información es un recurso crítico, que debe ser exacto y completo, debe estar 100% disponible y su principal característica ser confidencial. Para lograr que la información tenga cada uno de los atributos mencionados las organizaciones se vieron obligadas a implantar normativas o estrategias que les ayude a la regulación o búsqueda de la eficiencia en los procesos internos. En el capítulo 1 del libro básico, nos dan algunas razones de porqué la necesidad de implementar controles en las diferentes actividades de la organización. Una de las principales razones nos habla de la creciente dependencia de las organizaciones, puesto que hoy en día, todas estas constan con una estructura basada en un Sistema de Información cuyos elementos se muestran en la siguiente figura
.
Figura1: Elementos de un Sistema de información. Fuente: Jesuja. (2008)
El control sobre un sistema de información complejo debe ser más riguroso, por lo que algunas organizaciones optan por la aplicación de la “Auditoría Informática”. Es primordial que se diferencie muy bien el control interno de los procesos de una organización y la auditoría informática de la misma. Lectura Recomendada: Lea el REA que lo encuentra en el siguiente enlace: http://www.auditoriapublica.com/ hemeroteca/200704_41_97.pdf. Para comprender como se relaciona la auditoría informática y el control interno.
Con la finalidad que comprenda cada tema relacionado con la materia, usaremos las cuestiones de repaso que se encuentran al final de cada capítulo del texto básico del componente académico. No olvide que se usarán muchos recursos colgados en el internet, los cuales serán herramientas básicas para mejorar la comprensión de cada tema.
La Universidad Católica de Loja
15
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
1.2. Funciones de control interno y auditoría informática 1.2.1. Control interno informático El C.I. (Control Interno) controla la estructura, las políticas, el plan de la organización, el conjunto de métodos y procedimientos y las cualidades del personal de la empresa que aseguren: •
Que los activos estén protegidos.
•
Que la información sea válida y confiable.
•
Que las actividades se desarrollan eficazmente.
•
Que se cumplan las políticas y directrices marcadas por la dirección.
Se debe tener claro que una organización no puede solamente tener C.I. en departamentos contables y financieros, sino que abarca otros tipos de control, como los de gestión y eficiencia operativa, controles informáticos, etc. Los controles aplicados son diferentes pero el fin es el mismo. Seguidamente enlistamos los objetivos que se debe lograr al aplicar un control interno informático en una organización: Objetivos del control interno informático: Establecer como prioridad la seguridad y protección de la información del sistema computacional y de los recursos informáticos de la empresa. Promover la confiabilidad, oportunidad y veracidad de la captación de datos, su procesamiento en el sistema y la emisión de informes en la empresa. Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos de sistemas en la empresa. Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de sistematización de la empresa. Establecer las acciones necesarias para el adecuado diseño e implementación de sistemas computarizados, a fin de que permitan proporcionar eficientemente los servicios de procesamiento de información en la empresa. 1.2.2. Auditoría Informática (AI) Piattini (2008), nos dice que la “Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente las actividades de la organización y utiliza eficientemente los recursos” (p.7). Recordemos las definiciones de PROCESO: es un conjunto de actividades o eventos (coordinados u organizados) que se realizan o suceden (alternativa o simultáneamente) bajo ciertas circunstancias con un fin determinado (Stoner, 1996). En base a las definiciones anteriores podemos denominar a la Auditoría Informática, como un conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar asuntos
16
MODALIDAD ABIERTA Y A DISTANCIA
PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
relativos a la planificación, control eficacia, seguridad y adecuación del sistema de información de la empresa. Se lo puede determinar como un examen metódico (o proceso), puntual, con vistas a mejorar en: Rentabilidad, Seguridad y Eficacia. Lectura Recomendada: Para que usted comprenda de mejor manera la diferencia entre control interno y auditoría informática debe revisar la figura 1.1 encontrada en el capítulo 1 del texto básico llamada “Similitudes y diferencias entre control interno y auditoría informáticos”.
Las diferencias y similitudes del control interno y auditoría informática, nos ayudan a comprender de mejor manera lo que es un sistema de control interno. 1.2.3. Sistema de control interno Es el conjunto de acciones, actividades, planes, políticas, normas, registros, procedimientos y métodos, incluido el entorno y actitudes que desarrollan autoridades y su personal a cargo, con el objetivo de prevenir posibles riesgos que afectan a una organización. Para asegurar la integridad, disponibilidad y eficacia de los sistemas se necesitan complejos mecanismos de controles automáticos o manuales. Tipos de controles de un sistema de control Interno: •
Controles preventivos: Evita que suceda una circunstancia o hecho.
•
Controles detectivos: Detectan los controles preventivos que no funcionaron.
•
Controles correctivos: Funcionamiento con normalidad del sistema una vez que se produjeron incidencias.
1.2.4. Implementación de un Sistema de controles internos informáticos Los controles internos informáticos se pueden implantar en varios niveles del sistema, teniendo como primer objetivo y el más importante, conocer la configuración del sistema, para identificar elementos, productos y herramientas, con el fin de saber específicamente en dónde es necesario la implantación de estos controles para evitar posibles riesgos. Los niveles de control a tomar en cuenta para conocer la configuración del sistema de controles internos informáticos, son: •
Entorno de red.
•
Configuración del ordenador.
•
Entorno de aplicaciones.
•
Productos y herramientas.
•
Seguridad del ordenador base.
•
Gestión de sistemas de información.
La Universidad Católica de Loja
17
Guía didáctica: Auditoría Informática
•
Administración de sistemas.
•
Seguridad.
•
Gestión de cambio.
•
Dirección de negocio o de sistemas de información.
•
Dirección de informática.
•
Control interno informático.
•
Auditor interno/externo informático.
PRIMER BIMESTRE
Existen algunos controles internos para sistemas de información que el equipo de Control Interno Informático y Auditoría Informática deberían verificar para determinar su cumplimiento y validez en la organización (Piattini, 2008). Estos controles internos se agrupan en 6 grandes grupos, enlistados a continuación: •
Controles Generales Organizativos
•
Controles de desarrollo, adquisición y mantenimiento de sistemas de información.
•
Controles de explotación de sistemas de información
•
Controles de Aplicaciones
•
Controles específicos de ciertas tecnologías
•
Controles de Calidad
Lectura Recomendada: Lea detenidamente los “Controles Generales Organizativos ” del capítulo 1 del texto básico. Debe ingresar al EVA y contestar el cuestionario propuesto para esta temática con el fin de ayudarle a diferenciar cada uno de estos controles.
Toda empresa, pública o privada, que posea Sistemas de Información medianamente complejos, debe de someterse a un control estricto de evaluación de eficacia y eficiencia de este sistema. El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; nunca alcanzará los objetivos para los que fue creada. El control interno comprende el plan de organización, los métodos y procedimientos que tiene establecidos una empresa o negocio, constituidos en un todo para la obtención de tres objetivos principales: a) la obtención de información financiera correcta y segura, b) la salvaguarda de los activos y c) la eficacia de las operaciones. Es importante que estos tres objetivos funcionen adecuadamente en las empresas puesto que permite el manejo adecuado de los bienes, funciones e información de una empresa determinada, con el fin de generar una indicación confiable de su situación y sus operaciones en el mercado. Las auditorías informáticas se conforman obteniendo información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad
18
MODALIDAD ABIERTA Y A DISTANCIA
PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
o fortaleza de los diferentes medios. El trabajo del auditor consiste en obtener toda la información necesaria para emitir un juicio global objetivo, siempre amparado con las evidencias comprobatorias o pruebas necesarias que respalden su juicio. El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar. La auditoría debe ampliar su enfoque no solo a la evaluación de controles sino también a la evaluación de riesgos y de esta manera avanzar hacia una auditoría preventiva. Para contribuir en la prevención de riesgos, es recomendable que las políticas en materia de administración de reservas sean conocidas en forma oportuna por la auditoría interna y que segaranticen los mecanismos institucionales necesarios para que ello ocurra, como podría ser el comité de inversiones. ACTIVIDADES RECOMENDADAS Para conocer mas las diferencias entre Auditoría y Control interno le recomiendo leer el artículo que lo encontrará en el siguiente enlace: http://www.utu.edu.uy/Publicaciones/ Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf Posteriormente ingrese al EVA para participar en el foro creado para esta temática.
La Universidad Católica de Loja
19
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Autoevaluación 1
Conteste correctamente la siguiente autoevaluación (seleccione una respuesta correcta en cada pregunta de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso): 1. ( )
El Control Interno Informático asegura que las medidas de los mecanismos implantados sean solamente correctas.
2. ( )
La Auditoría Informática es el proceso de recoger evidencias para determinar si un control es válido.
3. ( )
Los informes del Control Interno Informáticos son enviados a la Dirección de Departamento de Informática.
4. ( )
Los Controles Detectivos son usados para conocer donde está la falla porque el control preventivo no funcionó.
5. ( )
Los Controles Correctivos son usados para evitar que ciertos riesgos del sistema de información se ejecuten.
6.
7.
Cuál del los controles de la siguiente lista no es un control general organizativo. a.
Estándares
b.
Políticas
c.
Metodología del Ciclo de Vida
d.
Políticas del Personal
Dentro de los controles generales organizativos – planificación, a que planes se debe efectuar el control: a.
Plan a corto, mediano y largo plazo.
b.
Plan Estratégico de Información, Informático, General de Seguridad y de emergencia de desastre.
c.
Plan de gestión de recursos.
d.
Plan de procedimientos de elección de sw y hw.
8. ( )
El auditor es el responsable de revisar e informar a la Dirección de Informática el funcionamiento de los controles implantados.
9. ( )
La Dirección de Informática, define las directrices para los sistemas de información en base a la exigencia del negocio, que podrán ser internas o externas.
10. ( )
El Plan Informático, garantiza la confidencialidad, integridad y disponibilidad de la información.
20
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica, compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe le recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si aún tiene inquietudes no dude en preguntar al profesor.
¡Hemos terminado la primera unidad! Felicitaciones
La Universidad Católica de Loja
21
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
UNIDAD 2. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN Estimado alumno, empezamos el segundo capítulo de la asignatura, aquí estudiaremos que es una metodología y las diferentes metodologías de control interno, así como, la seguridad de los sistemas de información. Para iniciar el estudio de esta nueva unidad le recomendamos acudir al capítulo 2 del texto básico “Auditoría de Tecnologías y sistemas de Información”.
¿Qué opina de la lectura? ¿Tienen dudas o inquietudes? ¡A continuación las iremos resolviendo!
2.1. Introducción a las metodologías Antes de ampliar este tema, debemos saber la definición de METODOLOGÍA: ciencia del método; MÉTODO: modo de hacer con orden una cosa (Real Academia Española). Sabemos que la informática es una materia compleja y que se han desarrollado metodologías para entender ciertos ámbitos de la misma, y uno de estos ámbitos es la auditoría de sistemas de información y la seguridad de sistemas de información. El uso de una metodología en auditoría nos ayuda a obtener resultados homogéneos en grupos de trabajo heterogéneos. Ahora bien, la Seguridad de los Sistemas de Información es la doctrina que trata de los riesgos informáticos y creados por la informática, por lo tanto, el nivel de seguridad informática es un gran objetivo a evaluar, estando directamente relacionado con la calidad y eficiencia de un conjunto de acciones y medidas destinadas a proteger y preservar la información de la organización. Para ello tenemos un soporte de contramedidas para identificar los puntos débiles y poder mejorarlos, esta es la función del auditor informático. Según la Real Academia Española una contramedida es: una medida tomada para paliar (atenuar, disminuir, suavizar, debilitar o aliviar) o anular otra medida. Está formada por varios factores, decritos en la siguiente figura:
22
MODALIDAD ABIERTA Y A DISTANCIA
PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
Figura 2: Factores de una contramedida. Fuente: Piattini, M., Del Peso, E., y Del Peso, M. (2008).
Presentamos detalladamente lo que es cada factor de una contramedida: 1.
La Normativa: debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual, como práctico, desde lo general a lo particular. Debe inspirarse en estándares, políticas, marco jurídico, políticas y normas de empresa, experiencia y práctica profesional. Desarrollando la normativa, debe alcanzarse el resto del “gráfico valor” mostrado en la Figura 3. Se puede dar el caso en que una normativa y su carácter disciplinado sea el único control de un riesgo ( aunque esto no sea frecuente).
2.
La Organización: la integran personas con funciones específicas y con actuaciones concretas, procedimientos definidos metodológicamente y aprobados por la dirección de la empresa. Éste es el aspecto más importante, dado que sin él, nada es posible. Se pueden establecer controles sin alguno de los demás aspectos, pero nunca sin personas, ya que son éstas las que realizarán los procedimientos y desarrollan los diversos planes (Plan de Seguridad, Plan de Contingencias, Auditorías, etc).
3.
Las Metodologías: son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.
4.
Los Objetivos de Control: son los objetivos a cumplir en el control de procesos. Este concepto es el más importante después de “la organización”, y solamente de un planteamiento correcto de los mismos, saldrán unos procedimientos eficaces y realistas.
5.
Los Procedimientos de Control: son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control y, por lo tanto, deben estar documentados y aprobados por la Dirección. La tendencia habitual de los informáticos es la de dar más peso a la herramienta que al propio control o contramedida, pero no se debe olvidar que una herramienta nunca es solución sino una ayuda para conseguir un control mejor. Sin la existencia de estos procedimientos, las herramientas de control son solamente una ‘anécdota’.
6.
La Tecnología de Seguridad: dentro de este nivel, están todos los elementos (hardware y software) que ayudan a controlar un riesgo informático. En este concepto están los cifradores, autentificadores, equipos denominados ‘tolerantes al fallo’, las herramientas de control, etc.
La Universidad Católica de Loja
23
Guía didáctica: Auditoría Informática
7.
PRIMER BIMESTRE
Las Herramientas de Control: son elementos del software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control.
Todos estos factores están relacionados entre sí, así como la calidad de cada uno con la de los demás (Piattini, 2008). Cuando se evalúa el nivel de Seguridad de Sistemas en una institución, se están evaluando todos estos factores (mencionados antes), y se plantea un Plan de Seguridad nuevo que mejore factores, aunque conforme vayamos realizando los distintos proyectos del plan, no irán mejorando todos por igual. Al finalizar el plan se habrá conseguido una situación nueva en la que el nivel de control sea superior al anterior. Entonces, ¿Qué es la Seguridad Informática?: La Seguridad Informática se refiere a las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad.
Figura 3: Definición de Seguridad. Fuente: Erb, M. (2008)
Entonces llamaremos Plan de Seguridad a una estrategia planificada de acciones y proyectos que lleven a un sistema de información y sus centros de proceso de una situación inicial determinada (y a mejorar) a una situación mejorada. En la siguiente figura puede visualizar la organización interna de la seguridad informática en una organización o empresa:
Figura 4: Sistema de Seguridad Fuente: Piattini, M., Del Peso, E., y Del Peso, M. (2008).
24
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
La organización interna de la seguridad informática estará formada por una parte por un comité que estaría formado por el director de la estrategia y de las políticas; y por otra parte, el control interno y la auditoría informática. La función del control interno se ve involucrada en la realización de los procedimientos de control, y es una labor del día a día. La función de la auditoría informática está centrada en la evaluación de los distintos aspectos que designe su Plan Auditor, con unas características de trabajo que son las visitas concretas al centro, con objetivos concretos y, tras terminar su trabajo, la presentación del informe de resultados.
2.2. Metodologías de evaluación de sistemas 2.2.1. Conceptos fundamentales •
AMENAZA: es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema de información. Debido a que la seguridad informática tiene como propósito garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones, en caso de que no se controlen las amenazas, estás podrían afectar directamente a este propósito, afectando muchas veces de manera irreparable a la organización o empresa. La siguiente figura presenta ejemplos de amenazas:
Figura 5: Definición de Amenazas. Fuente: Erb, M. (2008)
•
VULNERABILIDAD: es la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. En otras palabras, es la capacidad y posibilidad de un sistema de responder o reaccionar a una amenaza o de recuperarse de un daño. Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar un daño. La figura siguiente enlista algunos ejemplos de vulnerabilidades:
La Universidad Católica de Loja
25
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Figura 6: Tipos de Vulnerabilidades. Fuente: Erb, M. (2008)
•
RIESGO: es la incertidumbre que ocurra un evento que podría tener un impacto en el logro de los objetivos de la organización. Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar una pérdida monetaria, en la imagen de la organización o incumplimiento de normativa externa.
•
EXPOSICIÓN O IMPACTO: es la evaluación del efecto del riesgo. Se puede evaluar cuantitativamente con la fórmula Riesgo = Impacto * Probabilidad. En donde, Impacto: es el efecto o consecuencia cuando el riesgo se materializa y Probabilidad: representa la posibilidad que un evento dado ocurra. En la figura visualizamos ejemplos de la medición de riesgos lógicos:
Figura 7: Ejemplo de Riesgo e Impacto. Fuente: Erb, M. (2008)
26
MODALIDAD ABIERTA Y A DISTANCIA
PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
Todos los riesgos que se presentan podemos (Piattini, 2008): •
Evitarlos (Ejemplo: no construir un centro donde hay peligro constante de inundaciones).
•
Transferirlos (Ejemplo: uso de un centro de cálculo contratado).
•
Reducirlos (Ejemplo: sistema de detección y extinción de incendios).
•
Asumirlos, que es lo que se hace si no se controla el riesgo en absoluto.
Para evitar, transferir y reducir riesgos, se actúa si se establecen controles o contramedidas. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un conjunto de contramedidas que garantizan que la probabilidad de que las amenazas se materialicen en hechos (por falta de control) sea lo más baja posible. Existen dos tipos de metodologías desarrolladas y utilizadas en la auditoría y control informático para la identificación de riesgos: Cuantitativas y Cualitativas. 2.2.2. Metodologías cuantitativas •
Basada en un modelo matemático numérico que ayuda a la realización del trabajo.
•
Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos.
•
Debilidad de los datos de la probabilidad de ocurrencia por los pocos registros y poca significación de los mismos.
•
Tienen la imposibilidad o dificultad de evaluar económicamente todos los impactos que pueden suceder frente a la ventaja de poder usar un modelo matemático para el análisis.
2.2.3. Metodologías cualitativas •
Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada.
•
Están basadas en métodos estadísticos.
•
Precisan de la colaboración de un profesional experimentado.
•
Requieren menos recursos humanos/tiempo que las metodologías cuantitativas.
Una vez conocidas las diferencias, debe conocer que las metodologías más comunes que podemos encontrar de evaluación de sistemas son de ANÁLISIS DE RIESGOS o de DIAGNÓSTICOS DE SEGURIDAD.
La Universidad Católica de Loja
27
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
2.2.4. Metodologías análisis de riesgos Estas metodologías nos ayudan a la identificación de la falta de controles y el establecimiento de un plan de contramedidas. Lectura Recomendada: Diríjase al capítulo 3 del texto básico, lea y comprenda los pro y contras de la metodologías cuantitativas y cualitativas, colocados en la figura 3.3 llamada “Tipos de metodologías para el análisis de riesgos”.
2.2.4.1. Gestión de riesgos en la seguridad informática La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo o reducirlo, como lo indica la siguiente figura:
Figura 8: Etapas de Gestión de Riesgo. Fuente: Erb, M. (2008)
Un sistema de Gestión de Riesgos tienes 4 fases generales:
28
•
Análisis: se determina los componentes de un sistema que requieren protección, las vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo al que está expuesto.
•
Clasificación: se determina si los riesgos encontrados y los riesgos restantes son aceptables.
•
Reducción: se define e implementa las medidas de protección. Además se sensibiliza y se capacita a los usuarios conforme a las medidas.
•
Control: se analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
MODALIDAD ABIERTA Y A DISTANCIA
PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales, que forman el marco operativo del proceso, con el propósito de: •
Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo.
•
Orientar el funcionamiento organizativo y funcional.
•
Garantizar comportamiento homogéneo.
•
Garantizar corrección de conductas o prácticas que nos hacen vulnerables.
•
Conducir a la coherencia entre lo que pensamos, decimos y hacemos.
2.2.4.2. Seguridad de la información y protección de datos En la seguridad informática se debe distinguir dos propósitos de protección, la seguridad de la información y la protección de datos. Seguridad de la información: La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no sólo en medios informáticos. Protección de Datos: Se trata de la garantía o la facultad de control de la propia información frente a su tratamiento automatizado o no, es decir, no sólo a aquella información albergada en sistemas computacionales, sino en cualquier soporte que permita su utilización: almacenamiento, organización y acceso. Lectura Recomendada: Para reforzar más la diferencia entre Seguridad de la Información y Protección de datos puede leer el siguiente ejercicio, que lo encontrará en el siguiente enlace: http://protejete.wordpress. com/gdr_principal/seguridad_informacion_proteccion/ejercicio/
En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su pérdida y modificación no autorizada. La protección debe garantizar en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen más requisitos como por ejemplo la autenticidad entre otros (Erb, 2008). El motivo para implementar medidas de protección en los datos, debe ser del propio interés de la organización o persona que maneja los datos o puede ser una obligación jurídica, tomando en cuenta que la pérdida o modificación de los mismos, puede causar daños permanentes. En el caso de la protección de datos su objetivo no son los datos en sí mismo, sino el contenido de la información que manejan las personas, para evitar el abuso de ésta. En algunos países existen normas jurídicas que regulan el tratamiento de los datos personales, como por ejemplo en España, donde existe la “Ley Orgánica de Protección de Datos de Carácter Personal” que La Universidad Católica de Loja
29
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
tiene por objetivo garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar. Lectura Recomendada: En el siguiente Observatorio Iberoamericano de Protección de Datos. (2013). http://oiprodat. com/2013/04/04/pequena-y-mediana-empresa-y-ley-organica-de-proteccion-de-datos/. Encontrará una lectura que le dará una mejor comprensión de la relación entre la ley orgánica de protección de datos y una empresa.
Existen algunos motivos por los que la Seguridad de la Información no se puede dar adecuadamente. Podemos observarlos en la siguiente figura:
Figura 9: Restos de la Seguridad de la Información. Fuente: Erb, M. (2008)
La Gestión de riesgo nos ayuda a implementar medidas de protección, evitando o reduciendo los daños a un nivel aceptable, es decir a) conocer el peligro, b) clasificarlo y c) protegerse de los impactos o daños de la mejor manera posible. Pero una buena Gestión de riesgos es un proceso dinámico y permanente que tiene que estar integrado en los procesos (cotidianos) de la estructura institucional, que debe incluir a todas y todos los funcionarios y que requiere el reconocimiento y apoyo de las directiva (Erb, 2008). 2.2.4.3. Análisis de riesgos Es el primer paso del proceso de Gestión de Riesgos, tiene como propósito determinar los componentes de un sistema que requieren protección, las vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo. Para ello se debe conocer el concepto más básico en todo este proceso que es la INFORMACIÓN y sus elementos (base clave de toda organización). En la siguiente figura se presenta en forma resumida:
30
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Figura 10: Elementos de Información. Fuente: Erb, M. (2008)
A estos elementos de información hay que clasificarlos y averiguar su flujo de información interna o externa y así saber quién tiene acceso a esa información. Un resumen se presenta en la siguiente figura:
Figura 11: Clasificación y Flujo de Elementos de Información. Fuente: Erb, M. (2008)
Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante, porque ambos influyen directamente en el resultado del análisis de riesgo y las consecuentes medidas de protección. Sólo si se sabe quiénes tienen acceso a qué datos y su respectiva clasificación, se puede determinar el riesgo de los datos al sufrir un daño causado por un acceso no autorizado. Con esta clasificación procedemos al ya CUANTITATIVO – ANÁLISIS DE RIESGO, con su fórmula, mostrada en la siguiente figura:
La Universidad Católica de Loja
31
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Figura 12: Análisis de Riesgo - Fórmula. Fuente: Erb, M. (2008)
Existen varios métodos de como valorar un riesgo y al final, todos tienen los mismos resultados y conclusiones. Erb, M. (2008), fundamenta que para poder analizar un riesgo es importante reconocer que cada riesgo tiene sus características, estas pueden ser: •
Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad).
•
Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad).
•
No siempre es percibido de igual manera entre los miembros de una institución por tanto es importante que participen las personas especialistas de los diferentes elementos del sistema (Coordinación, Administración financiera, Técnicos, Conserje, Soporte técnico externo, etc.)
Si una amenaza se convirtió en realidad se denomina Ataque, es decir cuando un evento se realizó. Pero el ataque no especifica si los datos e informaciones fueron perjudicados respecto a su confidencialidad, integridad, disponibilidad y autenticidad. Entonces, debemos saber cómo valorar la probabilidad de amenaza, un ejemplo está en la siguiente figura:
32
MODALIDAD ABIERTA Y A DISTANCIA
PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
Figura 13: Para estimar la Probabilidad de Amenaza. Fuente: Erb, M. (2008)
Existen algunas interrogantes o razones que ayudan a enfocar mejor la valoración una amenaza. Erb (2008), enlista algunas de estas razones: •
¿Cuál es el interés o la atracción por parte de individuos externos, de atacar la organización? Algunas razones pueden ser que manejamos información que contiene novedades o innovación, información comprometedora, etc. Existe una probabilidad de que nuestros competidores sean compañeros de la organización.
•
¿Cuáles son las vulnerabilidades de la organización? Es importante considerar todos los grupos de vulnerabilidades. También se recomienda incluir los expertos, especialistas de las diferentes áreas de trabajo para obtener una imagen más completa y más detallada sobre la situación interna y el entorno.
•
¿Cuántas veces han tratado de atacar la organización? Ataques pasados nos sirven para identificar una amenaza y si su ocurrencia es frecuente. En el caso de que ya se tenga implementadas medidas de protección es importante llevar un registro, que muestra los casos cuando la medida se aplicó exitosamente y cuando no.
•
¿Existen condiciones de incumplimiento de confidencialidad (interna y externa)? Esto normalmente se da cuando personas no autorizadas tienen acceso a información y conocimiento ajeno que pondrá en peligro la misión de la empresa.
•
¿Existen condiciones de incumplimiento de obligación jurídicas, contratos y convenios? No cumplir con las normas legales fácilmente puede culminar en sanciones penales o económicas, que perjudican nuestra misión, existencia laboral y personal.
•
¿Cuál es el costo de recuperación? No solo hay que considerar los recursos económicos, tiempo, materiales, sino también el posible daño de la imagen pública y emocional.
Se habla de un impacto, cuando un ataque exitoso perjudicó la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones.
La Universidad Católica de Loja
33
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Lectura Recomendada: Leer el capítulo “Aspectos principales para una política interna de seguridad de la información”, página 28 a 35, donde se aborda los temas de flujo de datos (página 29 y 30): Flores, C. (2009). Recuperado de: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed. pdf
Para los siguientes pasos de la Gestión de Riesgos nos vamos a referir a un ejemplo para su entendimiento, cabe recalcar que este ejemplo les ayudará a concluir con el estudio de este tema, ya que está basado en datos donde claramente se especifica cómo se hacen paso a paso. Enlace: http://protejete.wordpress. com/gdr_principal/matriz_riesgo/, al ir al final de esta página web debe dar clic en siguiente para que dé continuidad al ejemplo. A continuación se presenta una imagen donde resume el esquema básico-general de una metodología de análisis de riesgo:
Figura 14: Metodología de Análisis de Riesgo. Fuente: Erb, M. (2008)
Recomendación: Si tiene algún problema en el desarrollo la comprensión del ejercicio no dude en realizar preguntas en el foro de la materia.
2.2.4.4. Plan de contingencia Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo (en cuestiones de riesgos). Presenta una estructura estratégica y operativa que ayudará a controlar una situación de emergencia y a minimizar sus consecuencias negativas. El plan de contingencia propone una serie de procedimientos alternativos al funcionamiento normal de una organización, cuando alguna de sus funciones usuales se ve perjudicada por una contingencia interna o externa. Esta clase de plan, por lo tanto, intenta garantizar la continuidad del funcionamiento de la organización frente a cualquier eventualidad, ya sean materiales o personales. Un plan de contingencia incluye cuatro etapas básicas: la evaluación, la planificación, las pruebas de viabilidad y la ejecución, como se muestra en la siguiente figura:
34
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Figura 15: Pasos de un Plan de contigencias. Fuente: Erb, M. (2008)
2.2.4.4.1. Fases de un plan de contingencia Piattini (2008), hace referencia a tres fases de un plan de contingencia, estas son: •
Análisis y Diseño: se estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas. Es la fase más importante, pues nos ayuda a verificar si es viable o es muy costoso su seguimiento.
•
Desarrollo del Plan: esta fase y la siguiente son similares en todas las metodologías. En ella se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los procedimientos de actuación generando, así, la documentación del plan.
•
Pruebas y Mantenimiento: en esta fase se definen las pruebas, sus características y sus ciclos, y se realiza la primera prueba como comprobación de todo el trabajo realizado, así como mentalizar al personal implicado.
•
Herramientas: en este caso, como en todas las metodologías, la herramienta es una anécdota, y lo importante es tener y usar la metodología apropiada para desarrollar más tarde la herramienta que se necesite. Toda herramienta debería tener, al menos, los siguientes componentes: base de datos relacional, módulo de entrada de datos, módulo de consultas, procesador de textos, generador de informes, ayudas on-line, hoja de cálculo, gestor de proyectos y generador de gráficos.
2.2.5. Metodologías de auditoria informática Las metodologías de auditoría informática son del tipo cualitativo/subjetivo (podemos decir que son las subjetivas por excelencia). Por tanto, están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen una gran profesionalidad y formación continuada (Piattini, 2008). Solo así esta función se consolidará en las entidades, esto es, por el “respeto profesional” a los que ejercen la función. Las metodologías que podemos encontrar en la auditoría informática son dos familias distintas: •
Las auditorías de Controles Generales como producto estándar de las auditorias profesionales.
La Universidad Católica de Loja
35
Guía didáctica: Auditoría Informática
•
PRIMER BIMESTRE
Las Metodologías de los auditores internos.
2.2.5.1. Las auditorías de controles generales y las metodologías de los auditores internos El objetivo de las auditorías de controles generales es “dar una opinión sobre la fiabilidad de los datos del ordenador para la auditoría financiera”. El resultado externo es un breve informe como parte del informe de auditoría, donde se destacan las vulnerabilidades encontradas. Están basadas en pequeños cuestionarios estándares que dan como resultado informes muy generalistas (Piattini, 2008). La metodología de auditor interno debe ser diseñada y desarrollada por el propio auditor, dependiendo de su experiencia y habilidad para realizarla. El esquema metodológico del auditor está definido por el “Plan de Auditor” (Piattini, 2008). Lectura Recomendada Diríjase a la capítulo 3 del texto básico y Lea por favor el ejemplo de metodología auditoria de una aplicación. Le servirá mucho para comprender mejor la aplicación de una metodología de auditor interno.
2.2.6. EL plan del auditor informático El Plan de Auditor Informático es un esquema metodológico donde se describe todo sobre su función y el trabajo que realiza en la organización. Seguidamente se presenta cuales son las partes básicas de un plan auditor informático, según (Piattini, 2008). : •
Funciones. Ubicación de la figura en el organigrama de la empresa
•
Procedimientos para las distintas tareas de las auditorías. Entre ellos están el procedimiento de apertura, el de entrega y discusión de debilidades, entrega de informe preliminar, cierre de auditoría, redacción de informe final, etc.
•
Tipos de auditorías que realiza. Metodologías y cuestionarios de las mismas. Existen dos tipos de auditoría según su alcance: la Completa (Full) de un área y la Acción de Inspección Correctiva (Corrective Action Review o CAR) que es la comprobación de acciones correctivas de auditorías anteriores.
•
Sistema de evaluación y los distintos aspectos que evalúa. Deben definirse varios aspectos a evaluar como el nivel de gestión económica, gestión de recursos humanos, cumplimiento de normas, etc, así como realizar una evaluación global de resumen para toda la auditoría. Esta evaluación final nos servirá para definir la fecha de repetición de la misma auditoría en el futuro, según el nivel de exposición que se le haya dado a este tipo de auditoría en cuestión.
•
Nivel de exposición. Es un valor que permite definir la fecha de la repetición de la misma auditoría, en base a la evaluación final de la última auditoría realizada sobre ese tema.
•
Plan quinquenal. Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repartirse en cuatro o cinco años de trabajo. Esta planificación, además de las repeticiones y añadido de las auditorías no programadas que se estimen oportunas, deberá componer anualmente el plan de trabajo (anual).
36
MODALIDAD ABIERTA Y A DISTANCIA
PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
•
Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario que, una vez terminado, nos dé un resultado de horas de trabajo previstas y, por tanto, de los recursos que se necesitarán.
•
Herramientas. Que permita confeccionar los cuestionarios de las distintas auditorías. Diríjase a la capítulo 3 del texto básico y Lea por favor el ejemplo de metodología auditoria de una aplicación. Le servirá mucho para comprender mejor la aplicación de una metodología de auditor interno.
La Universidad Católica de Loja
37
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Autoevaluación 2
Conteste correctamente la siguiente evaluación (seleccione una respuesta correcta en cada pregunta de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso): 1. ( )
El método es un conjunto de herramientas y técnicas, que juntas, dan como resultado un producto en particular.
2. ( )
El factor más importante de una contramedida es la Organización, ya que sin él, nada es posible.
3.
4.
Cuando hablamos de la situación creada por la falta de uno o varios controles, nos referimos a: a.
Amenaza
b.
Vulnerabilidad
c.
Riesgo
d.
Impacto
Si la organización crea/tiene un sistema de detección y extinción de incendios, es para que el riesgo sea: a.
Evitado
b.
Transferido
c.
Reducido
d.
Asumido
5. ( )
Las metodologías cualitativas son basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo y seleccionar en base a la experiencia.
6. ( )
Las metodologías de Análisis de Riesgo están desarrolladas para la identificación de la falta de controles y el establecimiento de un plan de contramedidas.
7. ( )
En este sentido, la Seguridad Informática sirve para la protección de la información, en contra de amenazas o peligros, para evitar daños y para maximizar riesgos, relacionados con ella.
8. ( )
La Gestión de Riesgo es un método solo para clasificar el riesgo y posteriormente implementar mecanismos que permitan controlarlo.
9. ( )
En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su perdida y modificación no-autorizado.
10. ( )
El objetivo de la protección de datos no son los datos en sí mismo, sino el contenido de la información sobre personas, para evitar el abuso de ésta.
11. ( )
Los Elementos de información son todos los componentes que contienen, mantienen o guardan información. También se los conoce como Activos o Recursos.
38
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
12. ( )
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que no puede producir un daño.
13. ( )
Riesgo = Probabilidad de Amenaza x Vulnerabilidad.
14. ( )
Plan de Contingencias es una estrategia planificada constituida por un conjunto de recursos, una organización de emergencia y unos procedimientos.
15.
Las fases de un Plan de Contingencias son: a.
Análisis y Diseño.
b.
Desarrollo del Plan
c.
Pruebas y Mantenimiento
d.
Todas las anteriores
16. ( ) 17.
El Plan del Auditor Informático es el mismo que el Plan de Contingencias.
Cuando se habla de un valor definido que permite definir la fecha de la repetición de la misma auditoría, en base a la evaluación final de la última auditoría realizada sobre ese tema, se refiere a : a.
Funciones
b.
Procedimientos
c.
Planes
d.
Nivel de Exposición
18. ( )
En el Plan de trabajo anual se debe estimar tiempos de manera racional y componer un calendario que dé un resultado de horas de trabajo previstas y, por tanto, los recursos que se necesitarán.
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica, vaya y compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe le recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si aún tiene inquietudes no dude en preguntar al profesor.
¡Hemos terminado la segunda unidad! Felicitaciones y ánimo con la siguiente unidad.
La Universidad Católica de Loja
39
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
UNIDAD 3. EL DEPARTAMENTO DE AUDITORÍA DE LOS SI Y ÉTICA DEL AUDITOR DE LOS SI Estimado alumno, empezamos el tercer capítulo de la asignatura en el cual mostraremos las funciones o responsabilidades de un Departamento de Auditoría de los Sistemas de Información, así como aspectos para desarrollar esas funciones. Para iniciar el estudio de esta unidad, le recomendamos acudir al texto básico y revisar el capítulo 5 titulado El Departamento de Auditoría de los SI: Organizaciones y Funciones; y el capítulo 7 Ética del Auditor de los Sistemas de Información.
¿Comprendió todos los temas?, a continuación vamos a reforzar más la lectura que usted realizó:
3.1. Misión del departamento de auditoría de los SI Antes de determinar cuál es la misión de este departamento, vamos a definir la palabra Misión, según (Thompson, 2006): Misión: es el motivo, propósito, fin o razón de ser de la existencia de una empresa u organización porque define: 1.
Lo que pretende cumplir en su entorno o sistema social en el que actúa,
2.
Lo que pretende hacer,
3.
El para quién lo va a hacer; y es influenciada en momentos concretos por algunos elementos como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas.
La misión del departamento de auditoría de los SI (DASI) tiene la misma misión que la de la auditoría de los SI. En la siguiente figura, está ampliamente descrita la misión del DASI: Lectura Recomendada Para entender el siguiente gráfico debe acudir al libro básico Auditoría de Tecnologías y Sistemas de Información – capítulo 5 y leer la misión del departamento de auditoría de los SI.
Figura 16: Misión del Departamento de Auditoría de SI FUENTE: Romero, K. (2013)
40
MODALIDAD ABIERTA Y A DISTANCIA
La Universidad Católica de Loja
Gestión de Organización
- Dueño de la organización. - Gerente General de la organización.
- Departamento Financiero, Informático de la organización. - Consejo Superior de la organización.
Órganos de Gobierno
- Servicio de Rentas Internas. - Súper Intendencia de Bancos.
- Instituto de Seguridad Social, etc.
¿Para quién desarrolla si labor la función de auditoría SI
Ofrece: Efectividad y e ciencia de las operaciones. Con abilidad de la información nanciera y Cumplimiento de las leyes y regulaciones.
- Ejercicio por el consejo de administración de la entidad, los gestores y otro personal.
Control Interno
¿Qué debe realizar?
Datos
MISION DEPARTAMENTO DE AUDITORÍA DE SI
Tecnología
SISTEMA DE INFORMACIÓN DE LA ORGANIZACIÓN
Sw Aplicaciones
Sobre que debe actuar
Instalaciones
Personas
PRIMER BIMESTRE
Guía didáctica: Auditoría Informática
41
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
3.2. Organización del departamento de auditoría de los SI 3.2.1. Objetivos y funciones Una vez definida y entendida la misión vamos a ver algunos objetivos y funciones del DASI, según (Piattini, 2008): •
Elaborar planes de trabajo para llevar a cabo auditorías en informática y el desarrollo de actividades apropiadas que permitan maximizar la eficacia del área de tecnologías de información (TI).
•
Implementar los planes de trabajo llevando un control de las actividades a realizar en tiempos estimados reales; en cuanto a evaluación de sistemas de información, procedimientos, equipos informáticos y redes de comunicación.
•
Evaluar sistemas, procedimientos y equipos informáticos; así como la dependencia de éstos y las medidas tomadas para garantizar su disponibilidad y continuidad
•
Verificar el cumplimiento de las normas de auditoria gubernamental, políticas y normas de seguridad de la Dirección de Tecnología que rigen la Institución en el área de TI.
•
Comprobar que el área de tecnologías de información (TI) ha tomado las medidas correctivas de los informes de la Auditoría Interna así como de las omisiones que al respecto se verifiquen en el seguimiento de informes.
•
Evaluar los controles de seguridades lógicas y físicas que garanticen la integridad, confidencialidad y disponibilidad de los datos en los sistemas de información de la institución.
•
Evaluar los riegos y controles establecidos para la búsqueda e identificación de debilidades, así como de las áreas de oportunidad.
•
Revisar la existencia de políticas, objetivos, normas, metodologías, así como la asignación de tareas y adecuada administración de los recursos humanos e informáticos.
•
Evaluar la existencia de políticas, objetivos, normas, metodologías, así como la asignación de tareas y adecuada administración de los recursos humanos e informáticos.
Lectura Recomendada Revisar algunos objetivos y funciones descritas en el texto básico, capítulo 5 – “Organización del Departamento de Auditoría de los SI”.I.
3.2.2. Ubicación en la organización El DASI debe estar ubicado orgánicamente como se muestra en la figura 17, en el recuadro denominado Auditor interno.
42
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Junta Directiva
Auditor Interno
Área de servicios financieros
Área de abastecimientos y equipamiento
Sub área de ingresos y egresos
Sub áreae de abastecimiento y equipamiento
Área de Prestación de servicios
Sub área de fiscalización de los servicios
Área de Gestión operativa
Sub área de operación
Área de administración y logística
Sub área de administración y logística
Figura 17: Posición de la Auditoría en la organización. Fuente: García et al., (2008)
Se tiene que tener claro que el DASI:
•
A mayor nivel jerárquico, mayor peso tiene en la organización y mayor respeto y autoridad encontrará sobre los hallazgos u observaciones y aceptación a las recomendaciones o sugerencias.
•
Puede reportar a diferentes niveles pero siempre será dependiendo de la empresa, su tamaño y necesidades.
También es importante saber que recursos se necesitan en un DASI. 3.2.3. Recursos necesarios Cada uno de los siguientes recursos son necesarios para que las funciones del Departamento de Auditoría de los SI se lleven a cabo: 1.
Recursos humanos: equipo de personas que llevarán a cabo la misión de la auditoría.
2.
Recursos Técnicos: sistemas o herramientas técnicas que ayudarán a los recursos humanos.
3.
Recursos Económicos: al inicio de cualquier auditoría se presenta un presupuesto, el mismo que debe ser aprobado por el comité de auditoría. RECUERDE: Las labores realizadas por un auditor no pueden ser sustituidas por ninguna herramienta ni tecnología, solamente ayudan a mejorar y hacer más eficiente el trabajo del auditor, el trabajo de auditoría recae netamente en la labor de los auditores.
3.2.4. Estructura del departamento de auditoría de SI Piattini (2008), afirma que para la estructura del departamento de auditoría de SI se toman en cuenta dos aspectos clave: 1.
Dimensión del departamento: número de personas que forman parte del departamento.
La Universidad Católica de Loja
43
Guía didáctica: Auditoría Informática
2.
PRIMER BIMESTRE
Localización del departamento: lugares físicos donde contar con recursos del departamento.
Para establecer estos aspectos tenemos que tomar en cuenta 4 parámetros: a.
Tamaño de la organización: diversidad de procesos del negocio,
b.
Dependencia de los negocios de la organización de las TI.
c.
Topología de los sistemas de información.
d.
Ubicación geográfica.
Lectura Recomendada Revisar a que se refiere cada uno de estos parámetros, que se encuentran descritos detalladamente en el capítulo 5 del texto básico.
3.2.5. El estatuto de auditoría de SI Un estatuto es una norma o una regla que tiene valor legal para una organización o empresa. El estatuto de auditoría de SI, debe proporcionar autoridad sobre toda la organización e independencia al recurso humano que trabajará en el departamento de auditoría de SI (Piattini, 2008). En este estatuto debe estar establecido: 1.
La posición de la función de auditoría interna dentro de la organización.
2.
Autorización de acceso a toda la información de la organización.
3.
El alcance de la auditoría interna a realizar.
4.
Se especificará que sus funciones son delegadas del Consejo y Comité de Auditoría.
El estatuto debe ser: 1.
Público.
2.
Divulgado entre los miembros de la dirección.
Con estos dos puntos se garantiza el entendimiento de la labor y las responsabilidades de la auditoría interna.
3.3. Planificación del trabajo de auditoría Para planificar el trabajo de auditoría y con ella evaluar el control interno de los recursos de información de la organización necesitamos una metodología, la misma que se describe en la siguiente figura:
Definir el Universo de TI
Análisis de Riesgos
Plan a largo Plazo
Plan a corto plazo
44
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
¿Qué se va auditar? • Procesos Operativos • Procesos Informáticos • La heterogeneidad de las TI de la organización. • Recursos de Información.
¿Qué se analiza? • Con los procesos enlistados: • Se usa una metodología de análisis de riesgos de esos procesos. • Clasificar los riesgos en: Riesgo de Negocio y Riesgo de Auditoría.
¿Cómo se audita? • Se define un plan a largo o corto plazo para evaluar si los sistemas de control establecidos en la organización son adecuados y suficientes para mitigar los riesgos identificados.
Figura 18: Planificación del trabajo de auditoría de SI. Fuente: Romero, K. (2013)
3.4. El equipo de auditoría de SI Existen algunos elementos a considerar al momento de seleccionar al personal que compondrá la unidad de auditoría de los SI: 1.
Formación
2.
Trato con las personas
3.
Desarrollo del trabajo
4.
Honesto y reservado
Los cuatro elementos anteriores son muy importantes pero deben ir de la mano con el cumplimiento a cabalidad de los principios éticos del auditor de los SI, estos principios son los que definen la ética del auditor de los SI. 3.4.1. Ética del auditor de los SI La ética del auditor de los SI está basada en algunos principios deontológicos, entiéndase por DEONTOLOGÍA como: la rama de la ética cuyo objeto de estudio son aquellos fundamentos del deber y las normas morales. Piattini (2008), enlista algunos principios deontológicos que el auditor debe tomar en cuenta a la hora de cumplir con su labor, estos principios no son reglas que se deban cumplir de carácter obligatorio, sino que queda a criterio y valor personal del propio auditor. PRINCIPIOS DEONTOLÓGICOS: 1.
Principio de Capacidad Profesional a.
Auditor plenamente capacitado para realizar la auditoría.
b.
El auditor puede incidir en la toma de decisiones del cliente.
c.
Conocimientos del auditor evolucionarán según las TI.
La Universidad Católica de Loja
45
Guía didáctica: Auditoría Informática
2.
Principio de Comportamiento Profesional a.
El auditor debe actuar conforme a las normas de dignidad de la profesión y de corrección en el trato personal. i.
3.
4.
5.
7.
Cuando precise del asesoramiento de otros expertos deberá acudir a ellos.
c.
Guardar respeto por la política empresarial del auditado.
Principio de confidencialidad a.
El auditor tiene la obligación de mantener la confidencialidad de la información suministrada por el auditado.
b.
No debe usar esta información para beneficio personal y no difundirla a terceras personas.
c.
Debe mantenerse un secreto profesional sobre la información obtenida entre el auditor y su equipo.
d.
El auditor debe establecer las medidas de seguridad y mecanismos necesarios para garantizar al auditado, que la información se almacenará en entornos o soportes que impidan la accesibilidad al mismo por terceras personas.
Principio de Independencia a.
El auditor debe actuar libremente según su leal saber y entender.
b.
Debe garantizar de que los intereses del auditado serán asumidos con objetividad.
c.
Debe rechazar criterios con los que no esté de acuerdo.
Principio de beneficio del auditado El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada (cliente). i.
Estará obligado a presentar RECOMENDACIONES.
ii.
La actividad estará orientada a lograr el máximo provecho de su cliente.
iii.
No puede anteponer intereses personales del auditor (actitud no ética).
iv.
Debe ser independiente de marcas, productos, etc.
v.
Deberán tener libre acceso a informes anteriores.
Principio de Información Suficiente a.
Es obligación del auditor de aportar, en forma detalladamente clara, precisa e inteligible para el auditado, información sobre los aspectos de la auditoría con interés para el auditado y sobre las conclusiones.
b.
Evitar datos intrascendentes.
c.
Compromiso con las conclusiones, líneas de actuación recomendadas y dudas que se le plantean.
Principio de Veracidad a.
46
Evitará caer en exageraciones o atemorizaciones innecesarias, transmitiendo una imagen de precisión y exactitud en sus comentarios.
b.
a.
6.
PRIMER BIMESTRE
El auditor deberá asegurar la veracidad de sus manifestaciones al auditado, con los límites impuestos por los deberes de respeto, corrección y secreto profesional.
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
8.
9.
10.
Principio de Libre Competencia a.
El auditor deberá rechazar prácticas tendentes a impedir la legítima competencia de otros profesionales y prácticas abusivas.
b.
Evitar los aprovechamientos indebidos del trabajo y reputación de otros en beneficio propio.
Principio de Servicio Público a.
El auditor deberá hacer lo que esté en su mano para evitar daños sociales que puedan propagarse a otros sistemas informáticos diferentes del auditado.
b.
El auditor deberá advertir de la existencia de dichos virus (en caso de haber) para que se tomen las medidas oportunas, pero sin descubrir la procedencia de su información.
Principio de Fortalecimiento y Respeto a la Profesión a.
Los auditores cuidarán del reconocimiento del valor de su trabajo y de la correcta valoración de la importancia de los resultados obtenidos con el mismo.
b.
Remuneración acorde con la preparación del auditor y con el valor añadido que aporta el auditado con su trabajo.
c.
Evitar la competencia desleal
d.
Promover el respeto mutuo y la no confrontación entre compañeros i.
11.
Denuncia de comportamientos indebidos.
Principio de Legalidad a.
El auditor debe evitar utilizar sus conocimientos para facilitar la contravención de la legalidad vigente.
b.
No desactivar o eliminar dispositivos de seguridad, ni intentar obtener claves de acceso a áreas restringidas de información.
Lectura recomendada Revise todos los principios deontológicos expuestos en el texto básico “Auditoría de Tecnologías y Sistemas de Información” – capítulo 7.
Antes de terminar el estudio de este primer bimestre, le invito a desarrollar la siguiente autoevaluación; para determinar el nivel de conocimiento del tema estudiado.
Con entusiasmo sigamos aprendiendo!
La Universidad Católica de Loja
47
Guía didáctica: Auditoría Informática
PRIMER BIMESTRE
Autoevaluación 3
Conteste correctamente la pregunta según sea el caso (conteste V si es Verdadero o F si es falso): 1. ( )
Según COSO, el control interno es un proceso, ejercido por el consejo de administración de la organización, diseñado para proporcionar seguridad razonable.
2. ( )
Los recursos de información son usados por la organización para soportar sus procesos operativos o de negocios.
3. ( )
Un recurso de información son las PERSONAS.
4. ( )
El departamento de auditoría de los SI, puede estar ubicado en cualquier parte de la organización.
5. ( )
No son necesarios los recursos económicos en el departamento de auditoría de los SI.
6. ( )
El estatuto de auditoría de los SI es cualquier documento donde solamente conste los objetivos que se quieren lograr en la auditoría.
7. ( )
El estatuto debe ser privado y sólo debe conocerlo el auditor y el auditado.
8. ( )
El primer paso para AUDITAR es establecer ¿Qué se debe auditar?.
9. ( )
El análisis de riesgo es establecer una medida de importancia relativa a cada uno de los elementos de la organización a auditar.
10. ( )
Cualquier persona de cualquier perfil puede conformar el equipo de auditoria de SI.
11. ( )
Una de las características más importantes al seleccionar al personal del equipo de auditoría de SI, es que tenga un magnífico trato con las personas.
12. ( )
Trato con las personas significa que debe ser paciente, prudente y flexible, y no defender sus puntos de vista.
13. ( )
El principio de comportamiento profesional significa que el auditor debe estar plenamente capacitado para la realización de la auditoría.
14. ( )
El auditor debe ser plenamente consciente del alcance de sus conocimientos y de su capacidad para desarrollar la auditoría.
15. ( )
El auditor está en libertad de usar los conocimientos adquiridos en una auditoría y usarlos en contra del auditado.
16. ( )
El auditor debe tener un secreto profesional sobre la información obtenida durante la auditoría.
17. ( )
El auditor deberá actuar en la auditoría con criterio propio, así lo dictamina el principio de independencia.
48
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
PRELIMINARES
18. ( )
El auditor deberá proteger los derechos económicos del auditado.
19. ( )
Es necesario que el auditor sea veraz en la información que dé en la auditoría, aunque ésta no esté respaldada.
20. ( )
El auditor no se puede negar a participar en actividades ilegales o impropias de la auditoría.
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica, compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe le recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si aún tiene inquietudes no dude en preguntar al profesor.
¡Hemos terminado la tercera unidad! Felicitaciones
Estimado alumno, hemos terminado los temas del primer bimestre, espero que hayan sido entendidos y comprendidos. Le deseo mucha suerte en su examen presencial y mucho ánimo para empezar los temas del segundo bimestre
La Universidad Católica de Loja
49
La Universidad Católica de Loja
Audita la operación de TI en base a las buenas prácticas de los marcos de referencia.
COMPETENCIAS ESPECÍFICAS DE LA TITULACIÓN
4.2. Auditoría de Outsourcing de TI.
4.1. Conceptos relativos a Outsourcing de TI.
UNIDAD4. Auditoría de Outsourcing de TI.
UNIDADES
Revisar el capítulo 9 del texto básico.
•
Desarrollar la autoevaluación de la unidad 4. Iniciar el desarrollo de la evaluación a distancia del componte.
• •
Participar en el EVA, foro e interacciones.
Realizar las lecturas recomendadas de la unidad.
Estudiar la unidad 4 de la guía didáctica y realizar la actividad recomendada, p. 57.
ACTIVIDADES DE APRENDIZAJE
•
4.3. Acciones indispensables de la • Define los conceptos y auditoría de Outsourcing de TI. marcos de referencia aplicables en la auditoría 4.4. Outsourcing y Marcos de • de outsourcing. Referencia.
COMPETENCIAS ESPECÍFICAS DEL COMPONENTE EDUCATIVO CONTENIDOS
Comprende los procedimientos implicados en el servicio de Outsourcing. Relaciona marcos de referencia con el Outsourcing de TI.
•
•
INDICADORES DE APRENDIZAJE
•
•
4 horas de interacción.
4 horas de estudio personal.
Semana 1 y 2
TIEMPO DE DEDICACIÓN
Comportamiento ético III: Inclinarse hacia el bien moral de uno mismo o de los demás (es decir, hacia todo lo que eso significa bien, vivencia del sentido, realización de la persona, sentido de justicia) y perseverar en dicho bien moral.
6.6. Planificación para el trabajo del alumno
•
COMPETENCIAS GENÉRICAS DE LA UTPL
6.5. Competencias
SEGUNDO BIMESTRE
SEGUNDO BIMESTRE
Guía didáctica: Auditoría Informática
51
COMPETENCIAS ESPECÍFICAS DE LA TITULACIÓN
52 Realizar la actividad recomendada, p. 65.
5.2. Objetivo de la Seguridad Física. •
5.1. ¿Qué es la Seguridad Física?
Estudio de la unidad 5 de la guía didáctica, capítulo 10 del texto básico y REAS del EVA.
Identifica oportunidades de mejora con la gestión de riesgos de acuerdo al marco de referencia COBIT.
ACTIVIDADES DE APRENDIZAJE
UNIDAD5. Auditoría a la Seguridad • Física.
UNIDADES
CONTENIDOS
Unidades 4 a 6
6.2. Procesos Claves de riesgos COBIT.
6.1. ¿Cómo evaluar un riesgo tecnológico?
UNIDAD6. Gestión de Riesgos y auditoría Basada en Riesgos COBIT
5.7. Fases de la auditoría de la Seguridad Física.
Desarrollo de la autoevaluación unidad 6 de la guía. Finalizar el desarrollo de la evaluación a distancia del componte.
• •
Revisión de contenidos como preparación para la evaluación presencial
Participar en el EVA, foro e interacciones.
•
•
Lectura de REAS en el EVA.
Realizar las lecturas recomendadas en la unidad.
• •
Estudio de la unidad 6 de la guía didáctica.
Continuar con el desarrollo de la evaluación a distancia del componte.
• 5.6. Técnicas y Herramientas de la auditoría de la Seguridad Física.
•
Desarrollo de la autoevaluación unidad 5 de la guía.
•
5.5. Áreas de Seguridad Física
Participar en el EVA, foro e interacciones.
•
5.3. Auditoría de la Seguridad Física. Evalúa la seguridad física de los sistemas de 5.4. Objetivos de la Auditoría de la información. Seguridad Física.
COMPETENCIAS ESPECÍFICAS DEL COMPONENTE EDUCATIVO
8 horas de estudio personal 8 horas de interacción.
•
Semana 7 y 8
8 horas de interacción
8 horas de estudio personal
•
Aplica procedimientos y • técnicas para la implementación del modelo COBIT en la gestión de riesgos.
•
•
8 horas de interacción
•
Semana 5 y 6
8 horas de estudio personal
Semana 3 y 4
TIEMPO DE DEDICACIÓN
•
Conoce los conceptos, procesos y herramientas para la evaluación de un riesgo tecnológico.
Ejecuta la auditoría de la seguridad física independiente de la organización a la que se aplique.
Analiza la estandarización de los procedimientos de control.
Verifica el cumplimiento de los procedimientos de control interno que se implantan en una organización para preveer seguridad física en los SI.
•
•
•
•
INDICADORES DE APRENDIZAJE
Guía didáctica: Auditoría Informática SEGUNDO BIMESTRE
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
6.7. Orientaciones específicas para el aprendizaje por competencias
UNIDAD 4. AUDITORÍA DE OUTSOUCING DE TI Estimado alumno, empezamos el cuarto capítulo de la asignatura abordando en detalle la Auditoría de Outsourcing de TI. Para iniciar el estudio del tema de auditoría de outsorcing de TI le recomendamos acudir al texto básico y leer el capítulo donde se abordará el tema relacionado a definiciones de Outsourcing.
¿Qué le pareció la lectura? ¿Tiene algunas dudas? No se preocupe las vamos a ir resolviendo.
4.1. Conceptos relativos al outsourcing de TI 4.1.1. Definición de outsourcing Esta definición difiere según el entorno que se encuentra, sin embargo, podemos establecer ciertas características para definirlo (Piattini et al., 2008).: •
No es una simple contratación, sino más bien, una alianza entre el cliente y el tercero para alcanzar juntos las metas y compartir los riesgos.
•
Las actividades del Outsourcing, muchas veces, no están consideradas dentro de las actividades esenciales del negocio del cliente pero aun así son vitales para su supervivencia.
•
Los medios y activos entre el Outsourcing y el negocio son diferentes para cada actividad.
El proceso de Outsourcing tiene algunas implicaciones a tomar en cuenta si una organización va a optar por requerir ese servicio, algunas son: •
La organización pasa a ceder o compartir los derechos de propiedad del proceso y los activos asociados, lo que logra que ciertas fases de los procesos ya no se controlan totalmente.
•
La organización comienza a tener una dependencia a largo plazo por lo que los recursos se vuelven difícilmente intercambiables.
•
A partir de esto se empieza a considerar una serie de contratos donde se definen todos los servicios que serán requeridos en la cadena de valor, y estos servicios serán manejados de forma más eficiente ya que es el concepto real del Outsourcing.
La Universidad Católica de Loja
53
Guía didáctica: Auditoría Informática
•
Actores secundarios
•
Canal para los actores secundarios
SEGUNDO BIMESTRE
4.1.2. El outsourcing de TI Para Piattini (2008), el outsourcing de TI se puede ver involucrado en muchas áreas de alto y bajo riesgo dentro de la organización, por lo que podemos definir un mapa de servicios que se están llevando en la actualidad: •
Gestión de aplicaciones: esto comprende todos los procesos desde el desarrollo de aplicaciones hasta la gestión de proyectos, y esto se ha vuelto muy común en nuestros días, donde las empresas necesitan sacar nuevos paquetes de software y tiene que contratar terceros que tienen la experiencia para trabajar ese proyecto en forma rápida y eficiente. Sin embargo, se debe considerar que muchas veces sucede que al finalizar ese proyecto, el personal en calidad de tercero se tiene que retirar de la organización y se está perdiendo ese conocimiento adquirido a lo largo del proyecto.
•
Gestión y operación de la infraestructura: esto comprende el manejo de los elementos en la infraestructura y operación de TI, desde supervisión, control de errores y la gestión de cambios. Entre los ejemplos o casos que podemos encontrar en este tipo, se encuentran las comunicaciones y la redes de datos, servidores y sus actividades de respaldo y recuperación, elementos de integración de sistemas y de las bases de datos.
•
Servicios de Helpdesk: se ocupa normalmente de toda la parte de soporte a usuarios finales para resolver problemas, dudas, configuración de PC. Esto se puede realizar a través de herramientas de conectividad remota que permitan brindar soluciones de manera más ágil.
•
Aseguramiento de Calidad: asegurar la calidad dentro de un proceso de desarrollo o sobre las actividades o funciones de TI se puede ofrecer como un proceso independiente. Se debe considerar que el proveedor que ofrece servicios de aseguramiento de calidad sea diferente al proveedor que ofrece el servicio que desea asegurar, para evitar conflictos de intereses.
•
Gestión del centro de cómputo: muy frecuentemente usada donde ya existen estándares para el manejo de los data centers y empresas muy especializadas para eso.
•
Servicios de seguridad: que es la encargada de velar por toda la seguridad de la información tanto para TI como para otras áreas de negocio.
•
Investigación y desarrollo: es posible utilizar organizaciones externas con un alto conocimiento en ciertas tecnologías o mercados a innovar.
4.1.3. Tipos de outsourcing Existen diferentes tipos de outsourcing decritos en el texto base de esta guía, a continuación se resumen para una mejor comprensión de los mismos: •
54
Outsourcing Informático tradicional: este es el soporte táctico que se presenta en la organización, donde el proveedor asume parte de los activos físicos o personal. Son actividades y activos gestionados por el proveedor. Ejemplos de ello son las gestiones de redes, de aplicaciones o de seguridad.
MODALIDAD ABIERTA Y A DISTANCIA
SEGUNDO BIMESTRE
Guía didáctica: Auditoría Informática
•
Outsourcing de Procesos de negocio: son los que pretende darle una transformación a la organización en lo que se refiere a los procesos de negocio. Si por ejemplo se tiene un sistema de nómina, se puede definir un contrato para que sea administrado en base a ciertos parámetros y lineamientos.
•
Proveedor Total o Parcial: el proveedor gestiona toda o una parte de los servicios informáticos, dependiendo del riesgo que se maneje. Si es parcial, es posible encontrar en un servicio informático varios proveedores.
•
Proveedor único: sólo un proveedor se encarga de un servicio informático exclusivo y se contrata otro proveedor para los otros servicios en TI.
•
Pseudo-outsourcing: es más una estrategia de grupos empresariales, donde estos crean una empresa que se encargará de gestionar todos los procesos de todas las empresas del grupo.
•
Outsourcing de transición: los proveedores solucionan el problema o gestionan por un tiempo de transición, como por ejemplo, cuando se requiere realizar un cambio de sistema y se requiere personal ya sea para el sistema nuevo o el que va a salir.
•
Outsourcing extraterritorial: estrategia que contrata a personal de otro país donde se aprovecha la tecnología y las comunicaciones para poder disponer de centros de cómputo en varios husos horarios. Se podría considerar un problema de este modelo, la diversidad de culturas en términos de comunicación y coordinación.
•
Participación del capital: su uso es especial al momento de la creación de nuevas empresas donde el proveedor podría ofrecer recursos humanos y conocimiento experto mientras el cliente ofrece el músculo financiero para llevar a cabo sus proyectos.
•
Multi aprovisionamiento: comprende la contratación de varios proveedores de servicio en diferentes áreas para disponer un cierto grado de independencia del proveedor.
•
Outsourcing estratégico: es también denominado Business Process Management y pretende externalizar el proceso de negocio y todo lo que conlleva las estructuras de capital, financiación y sobre todo el éxito o fracaso de la empresa.
Lectura recomendada Revise todos los tipos de outsourcing expuestos en el texto básico “Auditoría de Tecnologías y Sistemas de Información” – capítulo 9, aquí se expone detalladamente cada tipo de outsourcing.
4.1.4. Ciclo de vida del outsourcing Piattini (2008) explica que se debe entender que el outsourcing es un proceso, y como tal tiene un final, y que dependiendo de los resultados ese camino puede ser de ida y vuelta o sólo de ida. Se presenta el modelo simplificado que se considera en todo proceso de outsourcing de TI:
La Universidad Católica de Loja
55
Guía didáctica: Auditoría Informática
Plan estrategico
Contratación
SEGUNDO BIMESTRE
Transición
Gestión y Optimización
Finalización y renegociación
Figura 19: Ciclo de vida del Outsoursing. Fuente: (Piattini et al., 2008)
4.2. Auditoría del outsourcing de TI Antes de iniciar una auditoría se debe conocer el entorno en el que se desarrolla el proceso y los posibles agentes que participan en el mismo. El outsourcing es un acuerdo entre partes por la prestación de un conjunto de servicios tecnológicos. Aunque pueden existir diferentes tipos de acuerdos de outsourcing, podemos observar elementos claves tales como: El contrato, SLAs, Participación activa de usuarios, Política Corporativa. 1.
El contrato: acuerdo formal entre el proveedor del servicio y el cliente. Elemento de referencia principal.
2.
SLA: medida objetiva de calidad objetiva sobre el servicio acordado, fija los mínimos niveles de calidad para cada uno de los servicios.
3.
Participación activa de usuarios: el cliente dispone de canales para exigir y reclamar mejoras del nivel de servicio cuando éste no se está cumpliendo.
4.
Política Corporativa: define responsabilidades frente al outsourcing tanto de los usuarios como del personal propio de TI, desde la perspectiva de la supervisión y la comunicación.
4.2.1. El contrato del outsourcing Piattini (2008) explica lo que es un contrato de outsourcing: •
No es más que un contrato profesional entre dos entidades donde cada cláusula es importante y se debe de prestar mucha atención a cómo o por qué se han generado, en vista de que una falla podría afectar la calidad de los servicios que se esperaban recibir.
•
Desde la perspectiva del auditor se debe garantizar que se haya involucrado al equipo jurídico y tener una participación activa y no actuar únicamente como elemento revisor.
•
El contrato deberá recoger como mínimo los siguientes aspectos:
56
mm
Responsabilidades y elementos de relación para gestionar el proceso.
mm
Modelo de gestión que evite controversias y permita la revisión continua del contenido y alcance, además de su adaptación a las circunstancias del momento de forma fácil.
mm
Una descripción precisa de los productos que se esperan recibir y como se esperan recibir.
mm
Vínculos para proveedor con objetivos concretos y establecer clausulas de penalización para el supuesto de que no sean alcanzados.
mm
Mecanismos necesarios para asegurar la continuidad del servicio en caso de rescisión.
MODALIDAD ABIERTA Y A DISTANCIA
SEGUNDO BIMESTRE
Guía didáctica: Auditoría Informática
•
Uno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe “que se ha de hacer” y se convierte en la herramienta fiable con la que cuenta una organización para recuperar el control de sus sistemas de información bajo régimen de outsourcing.
•
Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de Relación y los Informes de Gestión.
•
El Modelo de Relación articula la capacidad de hacer evolucionar el contrato en el tiempo para adaptarlo a las necesidades reales del negocio.
•
El informe de Gestión es la herramienta básica para comunicar los resultados del servicio de outsourcing.
4.2.2. El acuerdo de nivel de servicio ANS/SLA Un ANS/SLA es el conjunto de medidas de rendimiento mínimo usadas para aceptar como válidos los servicios prestados, tiene algunas características (Piattini, 2008): •
El SLA debe ser un documento vivo y puede ser revisado a petición de cualquiera de las partes, adicionalmente se convierte en una herramienta con objetivos diferentes.
•
Los SLAs se consideran un elemento complementario al contrato ya que el mismo regula el servicio y en su contraparte el contrato regula todo el marco legal de la relación.
•
En un SLA podemos identificar dos tipos de elementos:
•
mm
Los elementos del servicio: describen el contexto del servicio y los términos y condiciones de la entrega del servicio.
mm
Los elementos de gestión: describen los pasos a dar para asegurar la efectividad del servicio y resolver cualquier problema que pudiera darse.
La manera de asegurarse el cumplimiento de estos SLAs es a través del análisis de indicadores de nivel de servicio.
4.2.3. El sistema de penalizaciones El sistema de penalizaciones se articula para regular la falta de cumplimiento del SLA y los efectos perjudiciales que el incumplimiento tiene para la empresa contratante. Se debe verificar que por cada SLA existe un indicador de penalización y ante un incumplimiento de servicio se recoge la penalización. Existe una menos-factura que reconoce el proveedor, y esta menos –factura queda registrada en la contabilidad del cliente. 4.2.4. Los informes de gestión (IG) Estos informes constituyen junto a los SLAs el núcleo de control efectivo sobre las actividades que desarrollan los proveedores. Proporcionan información estructurada sobre los servicios contratados, información que es valiosa para el seguimiento y funcionamiento no solo del servicio sino del negocio.
La Universidad Católica de Loja
57
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
4.3. Acciones indispensables en la auditoría del outsourcing de TI 1.
Identificar si existe una política para la definición de SLAs entre sus proveedores de servicios.
2.
Identificar los contratos y SLAs y verificar la participación de los usuarios en la creación y modificación de los mismos.
3.
Identificar claramente la relación entre el tercero y el cliente
4.
Identificar las personas con roles y responsabilidades sobre la gestión de contratos y SLAs
5.
Validar la existencia de claúsulas que permitan esta gestión alineado con la evolución del negocio.
6.
Identificar y validar el modelo de elaboración y aprobación de los SLAs y sus indicadores
7.
Verificar si se llevan a cabo recalculos de los indicadores para su contraste con lo acordado
8.
Identificar como se monitorean los SLAs y que reportes se generan para mostrar el desempeño.
9.
Identificar el proceso que considera las acciones a tomar en respuesta a un incumplimiento de SLA.
10.
Identificar como está articulada la obtención de la calidad percibida y las acciones que se toman tras su evaluación.
4.4. Outsourcing y marcos de referencia Por la importancia que ha ganado el outsourcing de TI en los últimos tiempos se han creado modelos de referencia para la gestión y gobierno de TI destinados a terceros, y adicionalmente se ha involucrado ciertas regulaciones para el control de los procesos o funciones desarrolladas por los outsourcing. Podemos destacar SOX (Ley Sarbanes-Oxley), Directiva europea de protección de datos personales, HIPAA y GBLT (EEUU). En la siguiente figura se mencionan los diferentes modelos de referencia y en cual enfoque está representado:
Figura 20: Modelos de Referencia. Fuente: (Piattini et al., 2008)
58
MODALIDAD ABIERTA Y A DISTANCIA
SEGUNDO BIMESTRE
Guía didáctica: Auditoría Informática
4.4.1. CMMI (Capability Maturity Model Integration) Este modelo está basado en el concepto de madurez de un proceso que se concreta a través de varios estados que CMMI define de forma acumulativa, o sea, que el nivel superior tiene características del nivel inferior ampliando ciertos aspectos (Piattini , 2008). Los niveles son: 1.
Inicial: en donde no se dispone de un ambiente estable para el desarrollo, más se confía en las habilidades del personal que en la seguridad de los procesos.
2.
Gestionado (Repetible): el proceso es gestionado sin uniformidad donde dispone de ciertas técnicas propias de gestión que son utilizadas discrecionalmente. La relación con los subcontratistas y clientes es gestionada sistemáticamente.
3.
Definido: la organización ha definido procesos formales para las diferentes actividades, que son utilizadas concurrentemente.
4.
Gestionado de forma cuantitativa: la organización ha establecido métricas para los principales elementos que gobiernan el proceso.
5.
Optimizado: se gestionan la mejora continua de los procesos y se hacen revisiones a las métricas.
CMMI se centra tanto en los procesos y las prácticas, políticas y procedimientos, donde en cada nivel de madurez se observan diferentes elementos a gestionar para poder ser certificado. 4.4.2. ISO 27001 / BS 7799 •
Es el estándar de seguridad de la información, y está basado en la creación de sistemas de gestión de la seguridad de la información similar a los estándares de calidad.
•
La norma indica controles o grupos de controles codificados mediante un sistema numérico y organizado por secciones. Cada sección resalta los factores que se deben tener en cuenta para alcanzar un adecuado control, aunque no todos estos controles son obligatorios pero si son necesarios para gestionar la seguridad de la información. La norma establece la necesidad de evaluar los riesgos correspondientes cuando se utilicen servicios de outsourcing que puedan impactar en la seguridad de la información (Piattini, 2008).
4.4.3. ITIL (IT infraestructura library) El modelo de ITIL está basado en servicios y en la entrega de los mismos de manera efectiva, eficiente y controlada pero no deja de lado la necesidad de creación de políticas, procedimientos o controles directivos para la gestión de los servicios de TI (Piattini, 2008). Su filosofía para el control del outsourcing puede resumirse en los siguientes principios: a.
Implantar una política que regule como adquirir servicios y selección de proveedores.
b.
Estar alerta para mantener el know-how dentro de la empresa.
c.
Documentar todas las actividades desarrolladas por outsourcing.
d.
Establecer mecanismos de comunicación para la correcta comprensión del servicio prestado.
e.
Mantener una relación estrecha y comunicación continua con el proveedor para verificar las necesidades de servicio.
f.
Mantenimiento y monitoreo de los contratos con los proveedores, con la finalidad de
La Universidad Católica de Loja
59
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
identificar las posibles mejoras en todos los ámbitos. Las principales herramientas de control que ITIL hace especial mención son los SLA (acuerdos de nivel de servicio) y los OLA (acuerdos de nivel de operación), cada una descrita a continuación: a.
SLA: define la relación entre un proveedor de servicios y sus clientes. Este acuerdo describe los productos, servicios o ambos, que se recibirán junto con las responsabilidades de cada parte, las condiciones económicas, como será medido el servicio y el esquema de reporte.
b.
OLA: define las relaciones interdependientes de los grupos de soporte interno de TI que trabajan para dar cobertura a los requerimientos de los SLA. Su objetivo es presentar la gestión interna que desarrolla el proveedor para cumplir con lo indicado en el contrato SLA. Este OLA tiende a ser más técnico que el SLA.
Lectura recomendada
Para reforzar más del tema sobre auditoría de outsourcing recomiendo acudir al texto básico – Capítulo 9 y revisar el Programa de Auditoría al Outsourcing expuesto.
ACTIVIDADES RECOMENDADAS 1. Tomando como base las actividades expuestas en la tabla 9.15 del texto básico Auditoría de Tecnologías y Sistemas de Información – Cap 9. Una vez haya comprendido las actividades que se debe desarrollar para lograr cumplir los objetivos de un Programa de Auditoría de Outsourcing, use esas tablas para identificar las actividades de una empresa “X” (que usted escoja y que brinde servicio de Outsourcing a la empresa donde Usted labora o a otra empresa que Usted tome como ejemplo).
Para medir sus conocimientos adquiridos le invito a desarrollar la siguiente autoevaluación.
60
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
Autoevaluación 4
Conteste correctamente las preguntas según sea el caso (V si es Verdadero o F si es falso): 1. ( )
El outsourcing es una simple contratación de servicios que una empresa busca para cubrir una necesidad.
2. ( )
La auditoría de outsorcing de TI se presenta como una herramienta de especial utilidad para asegurar la discontinuidad del negocio.
3. ( )
El servicio de aseguramiento de la calidad que desee una empresa se lo puede tomar como un proceso independiente. (outsourcing).
4. ( )
Para auditar el Outsourcing se debe conocer el entorno en que se desarrolla el proceso y los agentes que participaron en ello.
5. ( )
Un elemento dentro del acuerdo de Outsourcing son los Acuerdos de nivel de servicio SLA’s.
6. ( )
Contrato de Outsourcing es un contrato profesional, donde cada cláusula es importante.
7. ( )
La herramienta básica para comunicar los resultados del servicio en outsourcing es el informe de gestión.
8. ( )
Los elementos de gestión en un SLA describen los pasos a dar para asegurar la efectividad del servicio y resolver cualquier problema que pudiera darse.
9. ( )
Si no se cumple con el acuerdo de nivel de servicios no existen penalizaciones.
10. ( )
Una de las acciones indispensables en la Auditoría del Outsourcing de TI es identificar claramente la relación entre el tercero, el cliente y los usuarios de la empresa.
11. ( )
Mantener una relación estrecha y de comunicación continua con el proveedor para verificar las necesidades del servicio es una política, procedimiento o control del modelo ITIL.
12. ( )
El modelo CMMI se centra sólo en las políticas, dejando de lado los procesos de los diferentes elementos a gestionar para ser certificado.
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica, compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe le recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si aún tiene inquietudes no dude en preguntar al profesor.
¡Hemos terminado la cuarta unidad! Felicitaciones La Universidad Católica de Loja
61
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
UNIDAD 5. AUDITORÍA A LA SEGURIDAD FÍSICA Estimado alumno, empezamos el quinto capítulo de la asignatura tomando temas fundamentales que se requiere entender dentro de una auditoría de la Seguridad Física de una Organización. Para iniciar el estudio de este tema de seguridad, acuda al texto básico y realice una lectura comprensiva del capítulo 10 del texto base titulado Auditoría de la Seguridad Física.
¿Qué opina de lo aprendido? ¿Tiene inquietudes o dudas? ¡A continuación las iremos resolviendo!
5.1. ¿Qué es seguridad física? Por lo general, cuando se habla de seguridad informática siempre se piensa en errores de software, virus, intrusos de red, etc. En definitiva, se piensa en software. La realidad es que la seguridad informática también implica otro aspecto muy importante y que generalmente permanece desatendido, se trata de la Seguridad Física de un sistema. ¿De qué sirve que nadie pueda acceder de forma autorizada a los recursos lógicos del sistema, si cualquiera puede entrar por la puerta y llevarse el equipo debajo del brazo? Por lo tanto, se deben tomar medidas en lo que respecta a la seguridad física del sistema, y por supuesto, cuando se definen dichas medidas hay que tener en cuenta a las personas que trabajan con los equipos informáticos. Una definición formal podría ser: “… la seguridad física de los sistemas informáticos consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial” (Sue Berg et al., 1988). Por Seguridad Física se entiende todos aquellos mecanismos destinados a proteger físicamente cualquier recurso del sistema. Estos recursos son desde un simple teclado hasta una cinta de backup con toda la información de nuestra entidad, pasando por la propia CPU de la máquina, el cableado eléctrico o el edificio al completo.
62
MODALIDAD ABIERTA Y A DISTANCIA
SEGUNDO BIMESTRE
Guía didáctica: Auditoría Informática
5.2. Objetivo de la seguridad física Este tipo de seguridad está enfocado en cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. Los objetivos de la seguridad física se basan en prioridades con el siguiente orden: •
Edificio
•
Instalaciones
•
Equipamiento y Telecomunicaciones
•
Datos
•
Personas
5.3. Auditoría de la seguridad física Los sistemas informáticos existentes, manejados dentro de una empresa, surten efecto si se posee instalaciones adecuadas acorde a la necesidad y capacidad de cada institución, por lo que requieren cada cierto tiempo ser expuestas a análisis que reiteren su correcto funcionamiento; evitando así que los equipos se encuentren en riesgo de deterioro o daños irremediables. Según Piattini (2008) la Auditoría Física es “Una auditoría parcial que garantiza la integridad de los activos humanos lógicos y materiales, por lo que no difiere de la auditoría general más que en el alcance de la misma.” Para Matínez (2005) Auditoría Física es: “ La aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”. Se dice que una Auditoría a la Seguridad Física representa el análisis a las instalaciones con las que se ha adecuado a un sistema informático, propias de un empresa; enmarcándose a todo lo tangible que permita funcionar y evitar destrucciones a largo plazo de los equipos existentes. 5.3.1. Objetivos de la auditoría de la seguridad física •
Garantizar la integridad de los activos humanos, lógicos y material de un CPD (Centro de Proceso de Datos).
•
Cuando no están claros los límites, dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones.
•
Tener medidas para atender los riesgos de fallos, local o general de la seguridad física de la organización.
5.3.2. Medidas para atender los riesgos de fallos de la seguridad física •
Antes del desastre: §§
El Objetivo es obtener y mantener un nivel adecuado de seguridad física sobre los activos. El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.
La Universidad Católica de Loja
63
Guía didáctica: Auditoría Informática
§§
•
SEGUNDO BIMESTRE
Factores a tomar en cuenta para evitar los fallos: ––
Ubicación del edificio.
––
Ubicación del CPD.
––
Compartimentación.
––
Elementos de construcción.
––
Potencia eléctrica.
––
Sistemas contra incendios.
––
Control de accesos.
––
Selección del personal.
––
Seguridad de los medios.
––
Medidas de protección.
––
Duplicación de los medios.
Durante el desastre:
•
§§
El objetivo es tener y ejecutar un plan de contingencia adecuado. Recuerde que: Desastre: es cualquier evento, que cuando ocurre, tiene la capacidad de interrumpir el proceso normal de una empresa y se debe contar con los medios para afrontarlo cuando éste ocurra. Los medios quedan definidos en el Plan de recuperación de desastres, junto con el centro alternativo de proceso de datos, constituyen el Plan de Contingencia.
§§
El Plan de contingencia debe: ––
Realizar un análisis de riesgos de sistemas críticos.
––
Establecer un período crítico de recuperación.
––
Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
––
Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos.
––
Establecer objetivos de recuperación que determinen el período de tiempo (horas, dias, semanas) entre la declaración del desastre y el momento en que el centro alternativo puede procesar las aplicaciones críticas.
––
Designar, entre los distintos tipos existentes, un centro alternativo de proceso de datos.
––
Asegurar la capacidad de las comunicaciones.
––
Asegurar la capacidad de los servicios de Back-up.
Después del desastre:
64
§§
Un factor muy efectivo son los contratos de seguros, pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el fallo.
§§
Las empresas aseguradoras pueden compensar: ––
Centro de proceso y equipamiento.
––
Reconstrucción de medios de software.
––
Gastos extra (continuidad de las operaciones y permite compensar la ejecución del plan de contingencia).
MODALIDAD ABIERTA Y A DISTANCIA
SEGUNDO BIMESTRE
Guía didáctica: Auditoría Informática
––
Interrupción del negocio (cubre pérdidas de beneficios netos causados por la caida de sistemas).
––
Documentos y registros valiosos.
––
Errores y omisiones.
––
Cobertura de fidelidad.
––
Transporte de medios.
––
Contratos con proveedores y de mantenimiento.
5.3.3. Áreas de seguridad física Estas áreas son muy importantes a tomar en cuenta ya que el auditor las necesita para evaluar y dar su opinión al respecto, nosotros debemos conocer cuáles son estas áreas en la organización (Piattini et al., 2008). 5.3.3.1. Organigrama de la empresa En este organigrama es donde se conocerán las dependencias orgánicas, funcionales y jerárquicas de los departamentos y de los distintos cargos y empleos del personal, pudiendo analizar con ayuda de documentación histórica, las deparación de funciones y rotación en el trabajo. 5.3.3.2. Auditoría interna Se refiere al departamento independiente o subordinado al de auditoría financiera, si existe y es colaborador de éste en cualquier caso. Su función como departamento de auditoría interna es guardar las auditorías pasadas – informes de: las normas, procedimientos y planes que sobre la seguridad física y su auditoría se hayan realizado. 5.3.3.3. Administración de la seguridad Para la administración de la seguridad se necesitan de varios recursos, a continuación se enlistan los más importantes: •
Director o responsable de la seguridad integral.
•
Responsable de la seguridad Informática.
•
Administradores de Redes.
•
Administradores de Base de Datos.
•
Responsable de la seguridad activa y pasiva del entorno físico.
•
Normas, procedimientos y planes que, desde su propia responsabilidad haya distribuido y controlado el departamento.
5.3.3.4. Centro de proceso de datos (CPD) e instalaciones Las instalaciones son elementos o accesorios que deben ayudar a la realización de la mencionada función informática y a, la vez, proporcionar seguridad a las personas, al software y a los materiales, seguidamente se enlista algunas de estas instalaciones tomadas en cuenta en una auditoría física:
La Universidad Católica de Loja
65
Guía didáctica: Auditoría Informática
•
Sala de Host
•
Sala de operaciones
•
Sala de Impresoras
•
Cámara Acorazada
•
Oficinas
•
Almacenes
•
Sala de a paramenta eléctrica
•
Sala de aire acondicionado
•
Área de descanso y servicios.
SEGUNDO BIMESTRE
5.3.3.5. Equipos y comunicaciones Son los elementos principales del CPD: Host, terminales, computadores personales, equipo de almacenamiento masivo de datos, impresora, medios y sistemas de telecomunicaciones. 5.3.3.6. Computadores personales Son equipos necesarios para la conexión de los medios de comunicación. 5.3.3.7. Seguridad física del personal Son los accesos y salidas seguras, así como medios y rutas de evacuación, extinción de incendios y medios utilizados para ello (agua en lugares con conducciones y aparatos eléctricos, gases asfixiantes), sistemas de bloqueo de puertas y ventanas, zonas de descanso y de servicio. El Plan de contingencia inexcusablemente debe: •
Realizar un análisis de riesgos de sistemas críticos.
•
Establecer un período crítico de recuperación.
•
Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
•
Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos.
5.3.4. Fuentes para la auditoría de la seguridad física Las fuentes para la auditoría de la seguridad física, son los materiales que le permite extraer al auditor información para validar su auditoría y realizar su informe final. A continuación se enlista algunas fuentes que el auditor debe tomar en cuenta:
66
•
Políticas, Normas y planes sobre seguridad.
•
Auditorias anteriores generales y parciales referente a la seguridad física o cualquier otro tipo de auditoría llevada a cabo en la organización. MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
•
Contratos de seguros, de proveedores y de mantenimiento.
•
Entrevistas con el personal de seguridad, personal informático y otros responsables.
•
Actas e informes de técnicos y consultores.
•
Plan de Contingencia y valoración de las pruebas.
•
Informes sobre accesos y visitas.
•
Políticas de personal.
•
Inventarios de Soporte (papel o magnético).
5.3.5. Técnicas y herramientas para la auditoría de la seguridad física Las técnicas y las herramientas van a la par, es decir, un auditor puede aplicar una técnica con ayuda de herramientas, pero no puede aplicar una herramienta sin utilizar una técnica. Para mejor comprensión en auditoría las técnicas son los métodos o procedimientos que tiene como objetivo obtener resultados verídicos de una auditoría realizada, los mismos tinen que estar expuestos en un informe final de auditoría. Ejemplos de técnicas y herramientas más utilizadas en una auditoría: mm
Técnicas: •
Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc. ( tanto de espectador como actor).
•
Revisión analítica de: §§
Documentación sobre construcción y preinstalaciones.
§§
Documentación sobre seguridad física.
§§
Políticas y normas de actividad de sala.
§§
Normas y procedimientos sobre seguridad física de los datos.
§§
Contratos de seguros y de mantenimiento.
•
Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio).
•
Consultas a técnicos y peritos que formen parte de la plantilla o independientes.
mm
Herramientas:
•
Cuaderno de campo/ grabadora de audio.
•
Máquina fotográfica / cámara de video. §§
Su uso debe ser discreto y con autorización.
La Universidad Católica de Loja
67
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
5.4. Fases de la auditoría de la seguridad física Considerando la metodología de ISACA (Informaction Systems Audit and Control Association), existen 10 fases en una auditoría de seguridad física, estas son: Fase 1: Alcance de auditoría El alcance define con precisión el entorno y los límites en que va a desarrollarse la auditoría informática y se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el informe final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Fase 2: Adquisición de información general En esta fase se hace el estudio preliminar a la empresa y la determinación de la problemática de la entidad. En esta fase se enmarca la acción de realizar una verificación de los procedimientos, políticas, suministros, materiales y programas y otros requerimientos que son importantes para la auditoría. Fase 3: Administración y planificación Una planificación adecuada es el primer paso necesario para realizar auditorías Informáticas eficaces a la seguridad. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. Fase 4: Plan de auditoría El plan de auditoría es la elaboración de una serie de pasos a seguir conforme a la necesidad del auditor, requerimiento del examen y la distribución de actividades. Fase 5: Resultado de las pruebas Luego de la aplicación de los planes de auditoría se determinará el resultado de la aplicación de métodos y técnicas que darán resultados posibilitando el análisis y la interpretación de la información. Este resultado tendrá un sustento en los hallazgos obtenidos. Fase 6: Conclusiones y comentarios En base a los resultados obtenidos en la aplicación de Métodos de Investigación posibilitará en determinar una conclusión coherente en base a los hallazgos y la verificación realizada. Fase 7: Borrador del informe Es el documento emitido por el auditor como resultado final de su examen, incluye información suficiente sobre observaciones, conclusiones de hechos significativos, así como recomendaciones constructivas para superar las debilidades en cuanto a políticas, procedimientos, cumplimiento de actividades y otras. Fase 8: Discusión con los responsables del área Con el personal responsable se determinará la ocurrencia del hecho que causa errores en el cumplimiento de las actividades diarias. En esta fase se determina el cumplimiento de las funciones de cada funcionario, además los avances que cada uno de ellos han tenido.
68
MODALIDAD ABIERTA Y A DISTANCIA
SEGUNDO BIMESTRE
Guía didáctica: Auditoría Informática
Fase 9: Informe final Constituye la etapa final del proceso de auditoría, en el mismo se recogen todos los hallazgos detectados para sustentar el dictamen emitido en un documento. Fase 10: Seguimiento de las modificaciones acordadas Aquí se recogen todos los cambios que se deben realizar de acuerdo al informe final de auditoría que se expuso al auditado. ACTIVIDADES RECOMENDADAS Basado en el “Cuestionario de Seguridad Física” que puede encontrar en el texto básico Auditoría de Tecnologías y sistemas de Información – Capítulo 10 , aplique este cuestionario haciendo una Auditoría de la Seguridad Física en la empresa donde trabaja. Tomando en cuenta: a. ESTADO – Si existe o No el Control que le preguntan. b. OBSERVACIÓN – Si existe, anote qué control es, y si No existe, debe dar una recomendación. Si no queda clara esta actividad no dude en comunicarse con el profesor mediante el EVA, en horario de tutoría.
Antes de pasar al siguiente capítulo, pasemos a desarrollar la siguiente autoevaluación; para determinar el nivel de aprovechamiento del tema estudiado.
La Universidad Católica de Loja
69
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
Autoevaluación 5
Conteste correctamente las preguntas según sea el caso (V si es verdadero o F si es falso): 1. ( )
Seguridad física son todos los mecanismos destinados a proteger físicamente cualquier recurso de un sistema.
2. ( )
Los recursos de un sistema pueden ser desde un simple mouse hasta un disco duro con toda la información de la empresa.
3. ( )
La Seguridad Física está enfocada a cubrir solo amenazas ocasionadas por la naturaleza del medio físico en que se encuentra la empresa.
4. ( )
No es necesario instalaciones adecuadas para que un sistema informático de cierta empresa funcione correctamente.
5. ( )
Uno de los objetivos de la auditoría de la seguridad física es: tener medidas para atender los riesgos de fallos, local o general de la seguridad física de la organización.
6. ( )
Una medida para atender riesgos de fallos de seguridad durante el desastre es mantener un adecuado nivel de seguridad física sobre los activos, por ejemplo: ubicación del edificio.
7. ( )
Una medida para atender riesgos de fallos de seguridad después del desastre es hacer efectivo el aseguramiento de la empresa.
8. ( )
Existen solamente 3 áreas de seguridad física que el auditor debe tomar en cuenta a la hora de evaluar y dar su opinión.
9. ( )
La fase de la auditoría de la seguridad física donde se realiza una verificación de los procedimientos, políticas, materiales y otros requerimientos es el alcance de la auditoría.
10. ( )
La etapa final de la auditoría de la seguridad física es presentar el informe final donde se recogen todos los hallazgos encontrados en la misma.
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica, compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe le recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si aún tiene inquietudes no dude en preguntar al profesor.
¡Hemos terminado la quinta unidad! Felicitaciones
70
MODALIDAD ABIERTA Y A DISTANCIA
SEGUNDO BIMESTRE
Guía didáctica: Auditoría Informática
UNIDAD 6. GESTIÓN DE RIESGOS Y AUDITORÍA BASADA EN RIESGOS - COBIT Estimado estudiante, para desarrollar los contenidos de la presente unidad, es necesario leer y analizar la siguiente bibliografía específica: Information System Audit & Control Association. (2005). COBIT 4.0 en español, Directrices Gerenciales, Objetivos de Control, Niveles de Madurez. (3ra ed.). México DF. Estará subida en el entorno virtual de aprendizaje EVA.
Posterior a su lectura vamos a enfatizar algunos puntos importantes para su aprendizaje.
Es importante conocer que la gestión de riesgos es una de las principales herramientas de los auditores modernos ya que permite enfocarse en los puntos más críticos, es decir, los puntos de riesgo en un negocio. De manera general, los puntos críticos de TI son aquellos que soportan a los procesos más importantes de una empresa. Sin embargo, los activos de TI de este ámbito son demasiados y es necesario priorizar sobre los que implican mayor nivel de exposición de riesgo. Tal como se estudió en la unidad 2 de esta guía didáctica, en esta unidad se verá cómo evaluar un riesgo pero basada en marcos de referencia RISK IT – basado en COBIT – ISACA. Para reforzar este capítulo es importante que recuerde lo que se estudio en la unidad 2 de esta guía, para ello le invito a volver a revisar su contenido, así comprenderá mejor lo que se verá en esta unidad.
6.1. ¿Cómo evaluar un riesgo tecnológico? Ahora los invito a revisar y analizar las páginas 26 a 36 del documento “Marco de Riesgos” indicado en la bibliografía de la unidad y que estará subido oportunamente en el entorno virtual de aprendizaje EVA, ésta sección del documento nos permitirá entender de manera general, lo que es el riesgo y cómo evaluarlo. Es necesario entender que en el mundo de negocios actual la única manera de evitar que ocurran eventos no deseados, o disminuir el impacto en caso de que éstos ocurran, es mantener un proceso de gestión de riesgos que permitan alertar o implementar controles que disminuyan el peligro que asecha a una empresa o entidad. En este sentido, al ser el ambiente tecnológico un puntal importante para las empresas, es necesario que el ambiente tecnológico sea gestionado considerando los riesgos relacionados. Ahora analizaremos cómo podemos evaluar el riesgo tecnológico considerando la perspectiva de auditoría: los riesgos requieren ser expresados en términos inequívocos, claros y relevantes para el negocio. La gestión efectiva del riesgo requiere de la comprensión mutua entre TI y el negocio sobre el que el riesgo debe ser gestionado y por qué. Todas las partes interesadas deben tener la capacidad de comprender y expresar cómo los eventos adversos pueden afectar a los objetivos de negocio. Es necesario tomar en cuenta que: La Universidad Católica de Loja
71
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
•
Una persona de TI debe comprender cómo – los fallos relacionados o acontecimientos relacionados con TI pueden afectar a los objetivos de la organización y causar pérdida directa o indirecta a la organización.
•
Una persona de negocios deben entender cómo – los fallos o eventos relacionados con TI pueden afectar a los servicios y procesos clave.
Para esto, es necesario identificar una vulnerabilidad y una amenaza que pueden generar que ocurra un evento no deseado. Dicho evento debe tener asociado un impacto, es decir: qué puede ocurrir en caso de que dicha amenaza se materialice? Este impacto debe estar definido en términos del negocio, por ejemplo términos monetarios. Adicionalmente debemos asociar a cada riesgo la probabilidad de que esto ocurra en las condiciones actuales. A manera de ejemplo: Una amenaza de ataque informático puede materializarse en caso de que tengamos una vulnerabilidad como falta de controles perimetrales sobre nuestra red informática. El impacto que esto implica puede ser: caída de los sistemas y paralización de los procesos de negocio hasta restablecer la infraestructura tecnológica. La probabilidad puede ser alta considerando que no existen controles de seguridad o tomando en cuenta que incidentes como éste ya han ocurrido antes.
6.2. Procesos claves de riesgos en COBIT Estimado estudiante, lo invito a revisar y analizar, las páginas 22 a 24 del documento “Cobit (1)” y las páginas 64 a 67.del documento “COBIT 4.0” indicado en la bibliografía de la unidad y que estarán subidos en el entorno virtual de aprendizaje EVA, esta sección del documento nos permitirá tener una visión de lo que dicta el marco de referencia COBIT sobre el riesgo tecnológico. Esto es muy útil porque nos indica los controles que el auditor podría revisar para este ámbito. Usted debe tener en cuenta para este estudio el objetivo del proceso de gestión de riesgos: La clave de este proceso se centra en evaluar de forma recurrente la posibilidad e impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categoría y con base en el portafolio de proyecto o funciones que pueda tener una empresa. Debemos recordar que ISACA ha definido buenas prácticas que sirven a los gestores de riesgo a mejorar sus procesos de riesgos. La consecuencia de una buena práctica de riesgos es que el auditor informático podrá enfocar su trabajo de auditoría sobre los puntos más críticos del ambiente tecnológico, lo que resulta en eficiencia del trabajo de auditoría. RECOMENDACIÓN PARA REFORZAR EL CAPÍTULO Para reforzar este capítulo: 1. Es importante que Usted ya esté familiarizado con COBIT. 2. En caso de no ser así, le invito a revisar el documento “Cobit (1)” subido en el entorno virtual de aprendizaje EVA, revisar desde la página 9. 3. Si tiene alguna duda, puede comunicarse con su tutor mediante el EVA.
Le invito a desarrollar la siguiente autoevaluación; para determinar el nivel de aprovechamiento del tema estudiado.
72
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
SEGUNDO BIMESTRE
Autoevaluación 6
Conteste o seleccione la pregunta según sea el caso V o F: 1. ( )
Un actor que genera una amenaza sólo pueden ser los humanos.
2. ( )
Un activo es cualquier objeto de valor de la organización que puede ser afectado por un evento y crear un impacto en la organización.
3. ( )
Para identificar un riesgo primero debemos visualizar una vulnerabilidad o amenaza.
4. ( )
El impacto debe traducirse a términos del negocio.
5. ( )
Cada riesgo debe tener asociada una probabilidad de ocurrencia.
6. ( )
La magnitud del riesgo es igual a la probabilidad de ocurrencia únicamente.
7. ( )
El impacto es un indicador que compone el riesgo y que indica las consecuencias en caso de que se materialice un riesgo.
8. ( )
La probabilidad e impacto son los 2 componentes que definen al riesgo.
9. ( )
COBIT define los objetivos de control que componen el proceso de administración de riesgos de TI.
10. ( )
El impacto puede definirse con métodos cuantitativos únicamente.
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica, compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe le recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si aún tiene inquietudes no dude en preguntar al profesor.
¡Hemos terminado la sexta unidad!
La Universidad Católica de Loja
73
Guía didáctica: Auditoría Informática
SOLUCIONARIO
7. Solucionario
PRIMER BIMESTRE Autoevaluación 1
74
Pregunta
Respuesta
1.
F
2.
F
3.
V
4.
F
5.
Literal C
6.
Literal B
7.
F
8.
F
9.
F
10.
F
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
SOLUCIONARIO
Autoevaluación 2
La Universidad Católica de Loja
Pregunta
Respuesta
1.
F
2.
V
3.
Literal B
4.
Liteeral C
5.
F
6.
V
7.
F
8.
F
9.
V
10.
V
11.
V
12.
F
13.
F
14.
V
15.
Literal D
16.
F
17.
Literal D
18.
V
75
Guía didáctica: Auditoría Informática
SOLUCIONARIO
Autoevaluación 3
76
Pregunta
Respuesta
1.
V
2.
V
3.
V
4.
F
5.
F
6.
F
7.
F
8.
V
9.
V
10.
F
11.
V
12.
F
13.
F
14.
V
15.
F
16.
V
17.
V
18.
V
19.
F
20.
F
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
SOLUCIONARIO
FAutoevaluación 4
La Universidad Católica de Loja
Pregunta
Respuesta
1.
F
2.
F
3.
V
4.
V
5.
V
6.
V
7.
F
8.
V
9.
F
10.
F
11.
V
12.
F
77
Guía didáctica: Auditoría Informática
SOLUCIONARIO
Autoevaluación 5
78
Pregunta
Respuesta
1.
V
2.
V
3.
F
4.
F
5.
V
6.
F
7.
V
8.
F
9.
F
10.
V
MODALIDAD ABIERTA Y A DISTANCIA
Guía didáctica: Auditoría Informática
SOLUCIONARIO
Autoevaluación 6 Pregunta
Respuesta
1.
F
2.
V
3.
V
4.
V
5.
V
6.
F
7.
V
8.
V
9.
V
10.
F
KARG/yc/2014-03-01/79 pág. mvlp/2016-05-23
La Universidad Católica de Loja
79
